حملة تصيّد تستهدف مستخدمي كاردانو (ADA) تنتشر منذ أواخر ديسمبر، وتوزّع برمجيات خبيثة متنكرة في هيئة تطبيق سطح المكتب لمحفظة Eternl.
اكتشف باحثون في الأمن السيبراني الهجوم بعد تحليل رسائل بريد إلكتروني مصاغة باحتراف بعنوان "Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants."
تشير الرسائل الاحتيالية إلى مصطلحات حقيقية ضمن منظومة كاردانو، بما في ذلك NIGHT ومكافآت رموز ATMA عبر برنامج Diffusion Staking Basket.
يستخدم المهاجمون النطاق غير الموثّق download.eternldesktop.network لنشر ملف التثبيت الخبيث.
ما الذي حدث
قام صائد تهديدات مستقل يُدعى Anurag بتحليل ملف Eternl.msi بحجم 23.3 ميغابايت واكتشف أنه يحتوي على برنامج LogMeIn GoTo Resolve لإدارة الأنظمة عن بُعد.
يقوم مثبت البرنامج بإسقاط ملف تنفيذي باسم unattended-updater.exe ينشئ ملفات إعداد تُمكّن الوصول عن بُعد دون أي تفاعل من المستخدم.
تنشئ البرمجيات الخبيثة اتصالات مع بنية GoTo Resolve التحتية الشرعية، مما يسمح للمهاجمين بتنفيذ الأوامر ومراقبة أنظمة الضحايا.
أظهر تحليل الشبكة أن البرنامج يرسل معلومات إلى المهاجمين بصيغة JSON عبر خوادم بعيدة.
لا تحتوي رسائل البريد الإلكتروني على أخطاء إملائية وتستخدم لغة مهنية مصقولة، وهو ما يجعل من الصعب تمييزها عن الرسائل الشرعية.
لا يرافق ملف التثبيت أي توقيع رقمي أو قيمة تحقق (checksum)، ما يمنع المستخدمين من التحقق من أصالة الملف قبل تثبيته.
اقرأ أيضاً: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
لماذا يهم الأمر
تمثّل الحملة محاولة إساءة استغلال لسلسلة التوريد بهدف إنشاء وصول غير مصرح به ومستمر إلى أنظمة مستخدمي كاردانو.
تتيح أدوات الإدارة عن بُعد للمهاجمين تصفية محافظ العملات المشفرة وسرقة بيانات الاعتماد بمجرد تثبيتها على أجهزة الضحايا.
يوضح الهجوم كيفية استغلال الجهات الخبيثة لبرامج إدارية شرعية لتجاوز اكتشاف برامج مكافحة الفيروسات.
شدّد باحثو الأمن على أن على المستخدمين تنزيل تطبيقات المحافظ فقط من قنوات Eternl الرسمية للتواصل.
مثّل تسجيل النطاق حديثاً وغياب أي إعلانات رسمية من Eternl علامتين تحذيريتين أساسيتين لم ينتبه لهما بعض المستخدمين.
استهدفت حملات تصيّد مشابهة في السابق مستخدمي العملات المشفرة عبر تحديثات برمجية مزيفة وتطبيقات محافظ احتيالية.
اقرأ أيضاً: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike