Kampanye phishing yang menargetkan pengguna Cardano (ADA) telah beredar sejak akhir Desember, dengan mendistribusikan malware yang menyamar sebagai aplikasi desktop dompet Eternl.
Peneliti keamanan mengidentifikasi serangan ini setelah menganalisis email yang dibuat secara profesional berjudul "Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants."
Pesan penipuan tersebut menyebutkan istilah ekosistem Cardano yang sah termasuk NIGHT dan imbalan token ATMA melalui program Diffusion Staking Basket.
Pelaku menggunakan domain tidak terverifikasi download.eternldesktop.network untuk mendistribusikan installer berbahaya.
Apa yang Terjadi
Pemburu ancaman independen Anurag menganalisis berkas Eternl.msi berukuran 23,3 megabita dan menemukan bahwa berkas tersebut berisi perangkat lunak manajemen jarak jauh LogMeIn GoTo Resolve.
Installer tersebut mengekstrak sebuah executable bernama unattended-updater.exe yang membuat file konfigurasi yang memungkinkan akses jarak jauh tanpa interaksi pengguna.
Malware ini membuat koneksi ke infrastruktur GoTo Resolve yang sah, sehingga pelaku dapat mengeksekusi perintah dan memantau sistem korban.
Analisis jaringan menunjukkan perangkat lunak ini mengirimkan informasi ke pelaku dalam format JSON melalui server jarak jauh.
Email tersebut tidak mengandung kesalahan ejaan dan menggunakan bahasa profesional yang rapi, sehingga sulit dibedakan dari komunikasi resmi.
Tidak ada tanda tangan digital atau verifikasi checksum yang menyertai installer, sehingga pengguna tidak dapat memvalidasi keasliannya sebelum instalasi.
Baca juga: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Mengapa Ini Penting
Kampanye ini merupakan upaya penyalahgunaan rantai pasokan yang bertujuan membangun akses tidak sah yang persisten ke sistem pengguna Cardano.
Alat manajemen jarak jauh memungkinkan pelaku menguras dompet kripto dan mencuri kredensial setelah terpasang di perangkat korban.
Serangan ini menunjukkan bagaimana aktor ancaman mengeksploitasi perangkat lunak administratif yang sah untuk melewati deteksi antivirus.
Peneliti keamanan menekankan bahwa pengguna hanya boleh mengunduh aplikasi dompet dari kanal komunikasi resmi Eternl.
Domain yang baru terdaftar dan tidak adanya pengumuman resmi dari Eternl menjadi tanda peringatan utama yang luput dari perhatian sebagian pengguna.
Kampanye phishing serupa sebelumnya telah menargetkan pengguna kripto melalui pembaruan perangkat lunak palsu dan aplikasi dompet penipuan.
Baca juga: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike