Cardano Wallets in Gefahr? Verdächtige Phishing-Kampagne taucht auf

Eine Phishing-Kampagne richtet sich gegen Cardano-Nutzer durch gefälschte E-Mails, die einen betrügerischen Eternl Desktop-Download bewerben.

Der Angriff nutzt professionell gestaltete Nachrichten, die sich auf NIGHT- und ATMA-Token-Belohnungen im Rahmen des Diffusion Staking Basket-Programms beziehen, um Glaubwürdigkeit zu schaffen.

Threat Hunter Anurag identifizierte einen bösartigen Installer, der über eine neu registrierte Domain, download.eternldesktop.network, verteilt wird.

Die 23,3 Megabyte große Eternl.msi-Datei enthält ein verstecktes LogMeIn Resolve-Remote-Management-Tool, das unbefugten Zugriff auf die Systeme der Opfer ohne deren Wissen herstellt.

Gefälschter Installer bündelt Remote-Access-Trojaner

Der bösartige MSI-Installer trägt eine spezielle Komponente und legt eine ausführbare Datei namens unattended-updater.exe mit dem Originaldateinamen ab. Während der Laufzeit erstellt die ausführbare Datei eine Ordnerstruktur im Verzeichnis „Program Files“ des Systems.

Der Installer schreibt mehrere Konfigurationsdateien, darunter unattended.json, logger.json, mandatory.json und pc.json.

Die unattended.json-Konfiguration aktiviert die Remote-Access-Funktionalität, ohne dass eine Benutzerinteraktion erforderlich ist.

Netzwerkanalysen zeigen, dass die Malware eine Verbindung zur GoTo Resolve-Infrastruktur herstellt. Die ausführbare Datei überträgt Systemereignisinformationen im JSON-Format an entfernte Server unter Verwendung von hardcodierten API-Anmeldeinformationen.

Sicherheitsforscher klassifizieren das Verhalten als kritisch. Remote-Management-Tools bieten Bedrohungsakteuren Möglichkeiten für langfristige Persistenz, Remote-Befehlsausführung und Credential-Harvesting, sobald sie auf den Systemen der Opfer installiert sind.

Die Phishing-E-Mails sind professionell gestaltet, mit einem gepflegten Ton, korrekter Grammatik und ohne Rechtschreibfehler.

Die betrügerische Ankündigung erstellt eine nahezu identische Kopie der offiziellen Eternl Desktop-Version, inklusive Botschaften über Hardware-Wallet-Kompatibilität, lokale Schlüsselverwaltung und erweiterte Delegationskontrollen.

Kampagne zielt auf Cardano-Nutzer ab

Die Angreifer instrumentalisieren Narrative zur Kryptowährungs-Governance und spezifische Ecosystem-Referenzen, um verdeckte Zugriffswerkzeuge zu verbreiten.

Verweise auf NIGHT- und ATMA-Token-Belohnungen im Rahmen des Diffusion Staking Basket-Programms verleihen der bösartigen Kampagne falsche Legitimität.

Cardano-Nutzer, die an Staking- oder Governance-Funktionen teilnehmen möchten, sind hohen Risiken durch Social-Engineering-Taktiken ausgesetzt, die legitime Entwicklungen im Ecosystem nachahmen.

Die neu registrierte Domain verteilt den Installer ohne offizielle Überprüfung oder digitale Signatur.

Nutzer sollten die Echtheit der Software ausschließlich über offizielle Kanäle verifizieren, bevor sie Wallet-Anwendungen herunterladen.

Anurags Malware-Analyse zeigte, dass der Versuch des Supply-Chain-Missbrauchs darauf abzielte, dauerhaften unbefugten Zugriff zu etablieren.

Das GoTo Resolve-Tool ermöglicht Angreifern die Fernsteuerung, was die Sicherheit der Wallet und den Zugriff auf private Schlüssel gefährdet.

Nutzer sollten vermeiden, Wallet-Anwendungen von nicht verifizierten Quellen oder neu registrierten Domains herunterzuladen, unabhängig vom professionellen Erscheinungsbild der E-Mails.