کمپین فیشینگ نصب کننده جعلی Eternl برای کاردانو

کمپین فیشینگ نصب کننده جعلی Eternl برای کاردانو

نظرات

8 دقیقه

کمپین فیشینگ جعل هویت Eternl Desktop

یک کمپین فیشینگ حرفه‌ای در حال هدف‌گیری فعال کاربران شبکه کاردانو است که از طریق توزیع یک نصب‌کننده جعلی Eternl Desktop از دامنه‌ای تازه ثبت‌شده اقدام می‌کند. شکارچی تهدید با نام آنورگ (Anurag) بستهٔ مخربی را در آدرس download.eternldesktop.network کشف کرد که ادعا می‌کند نرم‌افزار رسمی کیف پول و جوایز استیکینگ مرتبط با توکن‌های NIGHT و ATMA را از طریق برنامه Diffusion Staking Basket ارائه می‌دهد. این بستهٔ مخرب ظاهری حرفه‌ای دارد و تلاش می‌کند با وعدهٔ پاداش‌های استیکینگ و ویژگی‌های پیشرفتهٔ کیف پول، اعتماد کاربران کاردانو را جلب کند.

چطور کلاهبرداری اعتماد می‌آفریند

ایمیل‌های این حمله از زبان حرفه‌ای، گرامر بدون خطا و پیام‌هایی خاص اکوسیستم دربارهٔ حاکمیت (governance) و استیکینگ استفاده می‌کنند تا مشروع به نظر برسند. مهاجمین اعلان‌های رسمی Eternl را تقلید می‌کنند و در متن پیام‌ها به پشتیبانی از کیف پول‌های سخت‌افزاری، کنترل محلی کلیدها و قابلیت‌های پیشرفتهٔ واگذاری (delegation) اشاره می‌کنند تا دریافت‌کنندگان را به دانلود نصب‌کننده ترغیب کنند. از تکنیک‌های مهندسی اجتماعی مانند ارجاع به عرضهٔ توکن‌های NIGHT و ATMA و وعدهٔ ثبت‌نام در سبد استیکینگ Diffusion استفاده شده است تا کاربران کم‌تجربه یا افرادی که عجله دارند فریب بخورند.

تحلیل فنی: MSI مخرب و ابزار دسترسی از راه دور

تحلیل‌های فنی نشان می‌دهد فایل قابل دانلود یک بستهٔ MSI به حجم 23.3 مگابایت با نام Eternl.msi است. درون این MSI یک اجرایی قرار دارد که به صورت unattended-updater.exe افت می‌شود و برای ایجاد ماندگاری (persistence) در مسیر Program Files ثبت می‌گردد. این نصب‌کننده چندین فایل پیکربندی تولید و می‌نویسد — unattended.json، logger.json، mandatory.json و pc.json — و به‌طور خاص فایل unattended.json طوری تنظیم شده که اجازهٔ دسترسی از راه دور را بدون دخالت کاربر فراهم کند. چنین پیکربندی‌ای می‌تواند نصب غیرقابل‌رؤیت یک راهکار مدیریت از راه دور را ممکن سازد و به مهاجم اجازهٔ کنترل طولانی‌مدت دستگاه را بدهد.

در بررسی‌های عمیق‌تر، نمونه‌های رفتار بدافزار نشان می‌دهد که نویسه‌های باینری و فایل‌های پیکربندی شامل اطلاعاتی دربارهٔ مسیر نصب، مجوزهای لازم و نقاط آغاز اتصال شبکه هستند. داده‌های ثبت‌شده همچنین نشان‌دهندهٔ تلاش برای مخفی‌سازی فعالیت‌ها در لاگ‌های سیستم و جلوگیری از هشدارهای AV با استفاده از نام‌های سیستمی و الگوهای نصب قانونی است. این نوع چسباندن ابزار مدیریت از راه دور در چارچوب بستهٔ نرم‌افزاری کیف پول یک نمونهٔ کلاسیک سوءاستفاده از زنجیرهٔ تأمین (supply-chain attack) به شمار می‌آید.

LogMeIn / GoTo Resolve به‌عنوان RAT سوءاستفاده شده‌اند

پژوهشگران دریافتند که مؤلفهٔ همراه بسته از زیرساخت LogMeIn Resolve (همان GoTo Resolve) استفاده می‌کند. بدافزار با استفاده از اعتبارنامه‌های API سخت‌کد شده به سرورهای مدیریت از راه دور متصل می‌شود و داده‌های رویداد سیستم را در قالب JSON ارسال می‌کند. پس از استقرار، این قابلیت دسترسی از راه دور امکان ماندگاری بلندمدت، اجرای دستورهای راه دور، برداشت و جمع‌آوری اعتبارنامه‌ها و احتمالاً استخراج اطلاعات کیف پول و کلیدهای خصوصی را فراهم می‌آورد. در عمل، مهاجم می‌تواند به‌صورت تعاملی به دستگاه دسترسی پیدا کند، فرمان اجرا کند، فایل‌ها را برداشت نماید یا کیلاگر و ماژول‌های جمع‌آوری اطلاعات را نصب کند.

از منظر فنی، سوءاستفاده از یک سرویس مدیریت معتبر مانند GoTo Resolve خطر ویژه‌ای دارد چون ترافیک شبکه گاهی با تراست‌لاین‌های تجاری همپوشانی می‌کند و ممکن است از بررسی‌های سادهٔ ترافیک عبور دهد. همچنین استفاده از اطلاعات API جاسازی‌شده نشان‌دهندهٔ این است که بستهٔ MSI شامل مؤلفه‌هایی است که برای فعال‌سازی اتصال به نقاط خاتمهٔ مشخص طراحی شده‌اند، و این نقاط می‌توانند برای ارتباط مستمر و فرماندهی-کنترل استفاده شوند.

سوءاستفاده از زنجیرهٔ تأمین و پیامدهای امنیتی

علاوه بر خطر مالی مستقیم، این نوع حملات اعتماد به اکوسیستم را تضعیف می‌کند و می‌تواند منجر به پیامدهای بلندمدت برای پروژه‌ها و توسعه‌دهندگان کیف پول شود. از منظر محافظت، ترکیب سیاست‌های مدیریت بسته، امضای دیجیتال معتبر، و بررسی زنجیرهٔ عرضهٔ نرم‌افزار الزامی است تا چنین بردارهایی کشف و خنثی شوند.

شاخص‌ها و جزئیات فنی

  • دامنهٔ مخرب: download.eternldesktop.network (تازه ثبت‌شده)
  • فایل: Eternl.msi (23.3 مگابایت)
  • اجرایی افتاده: unattended-updater.exe
  • فایل‌های پیکربندی: unattended.json، logger.json، mandatory.json، pc.json
  • مدیریت از راه دور: LogMeIn Resolve / GoTo Resolve

علاوه بر موارد فوق، برای تحلیلگران تهدید و تیم‌های پاسخ به حادثه پیشنهاد می‌شود به دنبال نشانگرهای زیر نیز باشند: امضاهای دیجیتال نامعتبر یا غایب، تغییرات غیرمعمول در مسیرهای Program Files، فراخوانی‌های شبکه به دامنه‌ها یا IPهای تازه ثبت‌شده که با الگوهای GoTo Resolve متفاوت‌اند، و حضور فایل‌های JSON حاوی کلیدهای API یا توکن‌های اتصال. تهیهٔ نُرم‌های تشخیصی (baseline) و مقایسهٔ آن‌ها با رفتارهای فعلی می‌تواند به تشخیص زودهنگام کمک کند.

کاهش خطر: چگونه کاربران و توسعه‌دهندگان کاردانو باید واکنش نشان دهند

کاربران باید تنها نرم‌افزار کیف پول را از کانال‌های رسمی دانلود کنند: وب‌سایت پروژه، انتشارهای تأییدشده در GitHub، یا فروشگاه‌های معتبر اپلیکیشن. همیشه امضاهای دیجیتال و توضیحات نسخه (release notes) را بررسی کنید و از نصب‌کننده‌هایی که در دامنه‌های تازه ایجادشده میزبانی شده‌اند پرهیز کنید. کیف پول‌های سخت‌افزاری و مدیریت محلی کلیدها همچنان امن‌ترین گزینه‌ها برای حفاظت از کلیدهای خصوصی هستند. اگر ایمیل مشکوکی دریافت کردید، روی لینک‌ها کلیک نکنید و نصب‌کننده‌های دانلودشده را اجرا نکنید؛ در عوض از طریق کانال‌های رسمی Eternl صحت پیام را پیگیری کرده و موارد مشکوک را به تیم‌های امنیتی گزارش کنید.

برای توسعه‌دهندگان و تیم‌های پروژه پیشنهاد می‌شود روندهای زیر را اجرا کنند: استقرار امضای کد (code signing) با کلیدهای امن و شناخته‌شده، فراهم کردن فایل‌های checksums و امضاهای دیجیتال روی صفحات انتشار، استفاده از کانال‌های محکم برای ارتباط با کاربر (مثلاً حساب‌های رسمی اجتماعی و وب‌سایت HTTPS با HSTS) و توضیح واضح دربارهٔ دامنه‌ها و URLهای رسمیِ دانلود. همچنین نظارت بر دامنه‌های مشابه و ثبت هشدار هنگام ثبت دامنه‌های تقلیدی می‌تواند به پیشگیری کمک کند.

توصیه‌های نهایی

با توجه به استفادهٔ کمپین از تکنیک‌های مهندسی اجتماعی — از جمله ارجاع به جوایز توکن NIGHT و ATMA برای قلقلک دادن کاربران — اعضای جامعهٔ کاردانو باید نسبت به پیشنهادهای ناخواستهٔ استیکینگ یا حاکمیتی محتاط و مشکوک باقی بمانند. سازمان‌ها باید ابزارهای مدیریت نقطه پایانی را مورد ممیزی قرار دهند، نظارت بر اتصالات غیرمنتظره به زیرساخت‌های GoTo Resolve را فعال کنند، و کاربران را در مورد خطرات فیشینگ و بردارهای حملهٔ زنجیرهٔ تأمین آموزش دهند. دوره‌های آموزشی، هشدارهای ایمیلی رسمی، و راهنمایی‌های گام‌به‌گام برای بررسی صحت نصب‌کننده‌ها می‌تواند تا حد زیادی از وقوع این نوع فریب‌ها جلوگیری کند.

در سطح فنی‌تر، تیم‌های امنیتی می‌توانند قوانین شناسایی (مانند YARA) برای نمونه‌های باینری و امضاهای پیکربندی آماده کنند، ترافیک شبکه خروجی به نقاط خاتمهٔ متعلق به GoTo Resolve را تحلیل کنند و بررسی کنند که آیا API keyها یا توکن‌ها در فایل‌های نصبی یا پیکربندی‌ها به‌صورت متن ساده ذخیره شده‌اند یا خیر. ترکیب قابلیت‌های تشخیصی روی نقاط پایانی، تحلیل لاگ‌ها، و فرآیند گزارش‌دهی سریع، ابزار مؤثری برای کاهش خسارت ناشی از چنین حملاتی است.

در پایان، حفظ بهترین شیوه‌های امنیتی شخصی (استفاده از کیف پول سخت‌افزاری، پشتیبان‌گیری از عبارت بازیابی در محیط امن، تأیید امضای کدها) همراه با اقدامات سازمانی می‌تواند از کاربران در برابر تهدیدات پیچیدهٔ فیشینگ و سوءاستفاده از زنجیرهٔ تأمین محافظت کند. اطلاع‌رسانی به جامعه و اقدامات پیشگیرانهٔ هماهنگ بین توسعه‌دهندگان کیف پول و کارشناسان امنیتی برای مقابله با این نوع حملات ضروری است.

منبع: crypto

ارسال نظر

نظرات

مطالب مرتبط