در روزهای اخیر، کاربران شبکه کاردانو با موج جدیدی از حملات فیشینگ روبرو شدهاند که با دقت و حرفهایگری طراحی شدهاند. مهاجمان سایبری با ارسال ایمیلهایی جذاب و ظاهراً معتبر، کاربران را ترغیب به دانلود نسخهای جعلی از برنامه Eternl Desktop میکنند؛ نسخهای که نهتنها کیف پول دیجیتال شما را ایمن نمیکند، بلکه دروازهای برای نفوذ هکرها به سیستمتان باز میکند.
این حمله دقیقاً با هدف بهدستآوردن کنترل کامل بر رایانه قربانی و سرقت کلیدهای خصوصی انجام میشود، که میتواند در عرض چند دقیقه داراییهای رمزنگاریشده کاربر را بهطور کامل از بین ببرد.
هدف حمله: اعتماد کاربران به برنامه Eternl
نسخه جعلی برنامه Eternl که از طریق دامنه تازه ثبتشدهی download.eternldesktop.network توزیع میشود، دقیقاً شبیه نسخه رسمی این کیف پول طراحی شده است. در ظاهر هیچ تفاوتی ندارد: همان رنگها، همان ادعاهای امنیتی، همان رابط کاربری. اما در باطن...
فایل نصبکننده با نام Eternl.msi، ابزاری مخفی بهنام LogMeIn Resolve را در خود دارد؛ ابزاری که به مهاجم اجازه میدهد بدون اطلاع کاربر به سیستم دسترسی پیدا کند و آن را کنترل کند.
داخل فایل نصب چه میگذرد؟
محتوای فایل مخرب، چیزی فراتر از یک نرمافزار معمولی است. پس از نصب، این بدافزار:
-
فایلی با نام
unattended-updater.exeدر سیستم ایجاد میکند. -
پوشهای جدید در مسیر Program Files میسازد.
-
چهار فایل پیکربندی مهم شامل:
unattended.json،logger.json،mandatory.jsonوpc.jsonرا مینویسد.
فایل unattended.json دقیقاً همان جایی است که دسترسی از راه دور را فعال میکند؛ بدون اینکه کاربر حتی کلیکی کرده باشد یا هشداری دریافت کند.
اتصال مستقیم به زیرساخت GoTo Resolve
نکته نگرانکنندهتر این است که بدافزار بهطور مستقیم به زیرساخت سرویس GoTo Resolve متصل میشود. در واقع، این یعنی مهاجم میتواند:
-
گزارشهای سیستمی را از راه دور دریافت کند
-
دستورات را اجرا کند
-
و حتی رمزهای عبور ذخیرهشده را سرقت کند
تمام این ارتباطات با استفاده از APIهای از پیش تعریفشده و بهصورت رمزنگاریشده انجام میشوند؛ یعنی سیستم امنیتی رایج حتی متوجه این اتصال نمیشود.
فیشینگ با ایمیلهای حرفهای و بینقص
یکی از خطرناکترین بخشهای این کمپین، ایمیلهایی هستند که هیچ خطا یا غلط املایی ندارند و کاملاً حرفهای نوشته شدهاند. در متن این ایمیلها، کاربران با وعدهی دریافت توکنهای NIGHT و ATMA از طریق طرحی بهنام Diffusion Staking Basket ترغیب به دانلود برنامه میشوند.
این اصطلاحات دقیقاً از دنیای واقعی کاردانو و سیاستهای حاکمیتی آن الهام گرفته شدهاند تا احساس اعتماد کامل ایجاد کنند. در واقع، مهاجم با شناخت کامل از ساختار کاردانو، یک پیام فریبنده اما کاملاً باورپذیر طراحی کرده است.
کاربران کاردانو در معرض چه تهدیداتی هستند؟
هدف اصلی این حمله، سرقت کلیدهای خصوصی کیف پولهای Cardano است. با نصب این بدافزار، مهاجم بهسادگی میتواند:
-
کیف پول را تخلیه کند
-
داراییها را به آدرس دیگری منتقل کند
-
کنترل کامل رایانه کاربر را بهدست بگیرد
-
برای مدت طولانی در سیستم باقی بماند بدون آنکه شناسایی شود
جدول مقایسه نسخه رسمی و نسخه جعلی Eternl
| ویژگیها | نسخه رسمی Eternl | نسخه جعلی و مخرب |
|---|---|---|
| محل دانلود | وبسایت رسمی Eternl | دامنه ناشناس و تازه ثبتشده |
| امضای دیجیتال | دارد | ندارد |
| ابزارهای جانبی مخرب | ندارد | دارد (LogMeIn Resolve) |
| ساختار پوشه و فایلهای سیستمی | استاندارد | ایجاد پوشه و فایلهای مشکوک |
| هدف | ذخیره امن کلیدهای کیف پول | کنترل کامل رایانه قربانی |
چگونه از خودمان محافظت کنیم؟
در دنیای ارزهای دیجیتال، اعتماد و امنیت اهمیت فوقالعادهای دارد. بههمین دلیل، اقدامات زیر برای جلوگیری از حملات مشابه ضروریاند:
-
هیچگاه از ایمیلهای ناشناس برنامه دانلود نکنید.
-
آدرسهای دامنه را با دقت بررسی کنید. حتی تفاوت کوچک در یک حرف ممکن است نشاندهندهی دامنه جعلی باشد.
-
قبل از نصب هر کیف پول یا اپلیکیشنی، مطمئن شوید فایل دارای امضای دیجیتال معتبر است.
-
از منابع رسمی مثل وبسایت پروژه یا مخزن GitHub برنامهها استفاده کنید.
-
نسبت به وعدههای اغواکننده پاداش یا توکنهای رایگان مشکوک باشید.
نتیجه گیری
این حمله، نمونهای از ترکیب مهندسی اجتماعی هوشمند با ابزارهای حرفهای مدیریت از راه دور است. مهاجمان بهجای استفاده از روشهای ساده و قابل شناسایی، با استفاده از ابزارهای واقعی، پیامهای متقاعدکننده و دانش عمیق از جامعهی کاردانو، حملهای حرفهای و عمیق طراحی کردهاند.
مهمترین اقدام ما در برابر چنین تهدیداتی، هوشیاری دائمی و استفاده از منابع رسمی است. همیشه بهخاطر داشته باشید:
در دنیای رمزنگاری، یک اشتباه کوچک میتواند منجر به از دسترفتن همهچیز شود.