Một chiến dịch lừa đảo phishing nhắm vào người dùng Cardano đang phát tán thông báo giả mạo ví Eternl Desktop, dụ tải và cài file MSI độc hại có công cụ điều khiển từ xa.
Kẻ tấn công dùng giọng điệu như thông báo chính thức, viện dẫn ưu đãi token NIGHT và ATMA để tăng độ tin cậy, rồi phân phối trình cài đặt không ký số qua tên miền download.eternldesktop.network.
- Giả mạo Eternl Desktop để phát tán file MSI độc hại.
- Trình cài đặt không ký số, liên quan ưu đãi NIGHT và ATMA.
- Mã độc chứa LogMeIn Resolve, cho phép điều khiển máy và chạy lệnh từ xa.
Chiến dịch giả mạo Eternl Desktop nhắm vào người dùng Cardano
Thông báo lừa đảo được phát tán như bản công bố của Eternl Desktop, khiến người dùng tải về một file MSI độc hại thay vì phần mềm ví hợp lệ.
Theo ghi nhận, kẻ tấn công sử dụng ngôn từ và cấu trúc giống thông báo chính thức để giảm cảnh giác. Nội dung còn nhắc tới các động lực nhận token NIGHT và ATMA nhằm tạo cảm giác có lợi ích tức thời, từ đó tăng tỷ lệ nhấp tải xuống và cài đặt.
Trình cài đặt được phân phối dưới dạng installer không ký số qua tên miền download.eternldesktop.network. Việc dùng domain trông giống sản phẩm, cộng với định dạng MSI quen thuộc trên Windows, có thể khiến nạn nhân bỏ qua bước kiểm tra nguồn tải và tính xác thực của chữ ký số.
Mã độc tích hợp LogMeIn Resolve để điều khiển từ xa
Các nhà nghiên cứu bảo mật cho biết file MSI chứa thành phần LogMeIn Resolve, cho phép thực thi lệnh từ xa và duy trì quyền kiểm soát hệ thống một cách bền bỉ.
Khi nạn nhân cài đặt, công cụ điều khiển từ xa có thể tạo điều kiện để kẻ tấn công can thiệp sâu vào thiết bị, bao gồm chạy lệnh từ xa và thiết lập cơ chế bám trụ. Trong bối cảnh người dùng nắm giữ tài sản tiền điện tử, quyền truy cập hệ thống như vậy làm tăng rủi ro lộ dữ liệu và bị chiếm quyền.
Khuyến nghị chính là chỉ tải phần mềm ví từ kênh chính thức. Người dùng Cardano nên tránh cài đặt các trình cài đặt không ký số từ các domain lạ hoặc thông báo hứa hẹn thưởng token, đặc biệt khi yêu cầu tải về và chạy file MSI.
