Eine Phishing-Kampagne, die auf Cardano (ADA)- Nutzer abzielt, kursiert seit Ende Dezember und verbreitet Malware, die als Desktop- Anwendung der Eternl-Wallet getarnt ist.
Sicherheitsforscher identifizierten den Angriff, nachdem sie professionell gestaltete E-Mails mit dem Betreff „Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants“ analysiert hatten.
Die betrügerischen Nachrichten beziehen sich auf legitime Begriffe aus dem Cardano-Ökosystem, darunter NIGHT und ATMA- Token-Belohnungen durch das Diffusion Staking Basket-Programm.
Angreifer nutzen die nicht verifizierte Domain download.eternldesktop.network, um das bösartige Installationsprogramm zu verbreiten.
Was ist passiert
Der unabhängige Threat Hunter Anurag analysierte die 23,3-Megabyte-Datei Eternl.msi und stellte fest, dass sie die Remote-Management- Software LogMeIn GoTo Resolve enthält.
Das Installationsprogramm legt eine ausführbare Datei namens unattended-updater.exe ab, die Konfigurationsdateien erstellt, welche Remotezugriff ohne Benutzerinteraktion ermöglichen.
Die Malware stellt Verbindungen zur legitimen GoTo-Resolve-Infrastruktur her, was es Angreifern erlaubt, Befehle auszuführen und die Systeme der Opfer zu überwachen.
Die Netzwerkanalyse zeigte, dass die Software Informationen im JSON-Format über entfernte Server an die Angreifer sendet.
Die E-Mails enthalten keine Rechtschreibfehler und verwenden eine gepflegte, professionelle Sprache, was sie nur schwer von legitimer Kommunikation unterscheidbar macht.
Dem Installationsprogramm fehlt eine digitale Signatur oder Prüfsumme, sodass Nutzer die Authentizität vor der Installation nicht überprüfen können.
Lesen Sie auch: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Warum das wichtig ist
Die Kampagne stellt einen Versuch des Missbrauchs der Lieferkette dar, der auf den Aufbau eines dauerhaften, unbefugten Zugriffs auf die Systeme von Cardano-Nutzern abzielt.
Remote-Management-Tools ermöglichen es Angreifern, Kryptowallets zu leeren und Zugangsdaten zu stehlen, sobald sie auf den Rechnern der Opfer installiert sind.
Der Angriff zeigt, wie Bedrohungsakteure legitime Administrationssoftware ausnutzen, um die Erkennung durch Antivirensoftware zu umgehen.
Sicherheitsforscher betonten, dass Nutzer Wallet-Anwendungen ausschließlich über offizielle Eternl-Kommunikationskanäle herunterladen sollten.
Die neu registrierte Domain und das Fehlen offizieller Ankündigungen von Eternl waren wichtige Warnzeichen, die von einigen Nutzern übersehen wurden.
Ähnliche Phishing-Kampagnen haben in der Vergangenheit bereits Kryptowährungsnutzer über gefälschte Software-Updates und betrügerische Wallet-Anwendungen ins Visier genommen.
Lesen Sie auch: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike