تتعرض مجتمع عملة كاردانو حاليًا لحملة تصيد احتيالي متطورة تستهدف المستخدمين الذين يسعون لتنزيل تطبيق Eternl Desktop الجديد. تستغل الحملة رسائل بريد إلكتروني مزيفة تدعي الترويج لحل محفظة شرعي، مما يضع المستخدمين أمام مخاطر كبيرة.
تهدف هذه الرسائل إلى استغلال رغبة المستخدمين في الاستفادة من المكافآت المحتملة، مثل مكافآت رموز NIGHT وATMA ضمن برنامج Diffusion Staking Basket، وذلك لتعزيز مصداقيتها ودفع المستخدمين نحو تفاعل غير آمن.
حملة تصيد احتيالي تستهدف مستخدمي كاردانو
نجح المهاجمون في إنشاء نسخة طبق الأصل تقريبًا من إعلان Eternl Desktop الرسمي، بما في ذلك تفاصيل حول التوافق مع المحافظ المادية، وإدارة المفاتيح محليًا، وخيارات التفويض المتقدمة. يعتمد الأسلوب المتبع على لغة احترافية وخالية من الأخطاء الإملائية، مما يجعلها مقنعة بشكل خاص للمجتمع.
تستخدم الحملة نطاقًا جديدًا تم تسجيله مؤخرًا، وهو download.eternldesktop.network، لتوزيع حزمة تثبيت ضارة. هذه الحزمة تفتقر إلى أي تحقق رسمي أو توقيع رقمي، مما يزيد من خطورة تنزيلها.
ملف تثبيت خبيث
كشف الباحث الأمني أنوراج، متخصص في تحليل البرمجيات الخبيثة، عن وجود أداة إدارة عن بعد LogMeIn Resolve مدمجة في ملف Eternl.msi الضار. هذا الاكتشاف يشير إلى محاولة استغلال سلسلة التوريد لإنشاء وصول غير مصرح به ودائم على أنظمة الضحايا.
يبلغ حجم ملف التثبيت الضار 23.3 ميجابايت، ويحتوي على ملف تنفيذي باسم unattended-updater.exe، والذي يحمل اسم GoToResolveUnattendedUpdater.exe الأصلي. يقوم هذا الملف بإنشاء هيكل مجلدات محدد وكتابة ملفات تكوين متعددة، بما في ذلك unattended.json، الذي يمكّن وظائف الوصول عن بعد دون علم المستخدم.
يحاول الملف التنفيذي إنشاء اتصالات مع خوادم GoTo Resolve الشرعية، مثل devices-iot.console.gotoresolve.com. تشير تحليلات الشبكة إلى أن البرمجيات الخبيثة تنقل معلومات أحداث النظام بتنسيق JSON إلى خوادم عن بعد باستخدام بيانات اعتماد API مدمجة، مما يفتح قناة اتصال لتنفيذ الأوامر ومراقبة النظام.
يصنف الباحثون هذا السلوك على أنه خطير، حيث توفر أدوات الإدارة عن بعد للمهاجمين قدرات على البقاء طويل الأمد، وتنفيذ الأوامر عن بعد، وسرقة بيانات الاعتماد بمجرد تثبيتها على أنظمة الضحايا. توضح هذه الحملة كيف يتم استغلال روايات حوكمة العملات المشفرة وإشارات نظام المنح البيئي الشرعية لتوزيع أدوات وصول خفية.
يجب على المستخدمين التحقق من شرعية البرامج من خلال القنوات الرسمية فقط، وتجنب تنزيل تطبيقات المحافظ من مصادر غير موثوقة أو نطاقات مسجلة حديثًا، بغض النظر عن مدى احترافية رسائل البريد الإلكتروني التي يتم توزيعها.