Una campagna di phishing che prende di mira gli utenti di Cardano (ADA) è in circolazione dalla fine di dicembre, distribuendo malware camuffato da applicazione desktop del wallet Eternl.
I ricercatori di sicurezza hanno identificato l’attacco dopo aver analizzato email professionalmente realizzate intitolate «Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants.»
I messaggi fraudolenti fanno riferimento a termini legittimi dell’ecosistema Cardano, inclusi NIGHT e le ricompense in token ATMA tramite il programma Diffusion Staking Basket.
Gli attaccanti utilizzano il dominio non verificato download.eternldesktop.network per distribuire il programma di installazione malevolo.
Cosa è successo
L’hunter di minacce indipendente Anurag ha analizzato il file Eternl.msi da 23,3 megabyte e ha scoperto che contiene il software di gestione remota LogMeIn GoTo Resolve.
Il programma di installazione rilascia un eseguibile chiamato unattended-updater.exe che crea file di configurazione abilitando l’accesso remoto senza interazione dell’utente.
Il malware stabilisce connessioni con l’infrastruttura legittima di GoTo Resolve, consentendo agli attaccanti di eseguire comandi e monitorare i sistemi delle vittime.
L’analisi del traffico di rete ha mostrato che il software invia informazioni agli attaccanti in formato JSON attraverso server remoti.
Le email non contengono errori di ortografia e utilizzano un linguaggio professionale curato, rendendole difficili da distinguere dalle comunicazioni legittime.
Nessuna firma digitale o verifica tramite checksum accompagna il programma di installazione, impedendo agli utenti di convalidarne l’autenticità prima dell’installazione.
Leggi anche: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Perché è importante
La campagna rappresenta un tentativo di abuso della supply chain volto a stabilire un accesso non autorizzato e persistente ai sistemi degli utenti Cardano.
Gli strumenti di gestione remota consentono agli attaccanti di svuotare i wallet di criptovalute e rubare credenziali una volta installati sui computer delle vittime.
L’attacco dimostra come gli attori delle minacce sfruttino software amministrativi legittimi per eludere il rilevamento da parte degli antivirus.
I ricercatori di sicurezza hanno sottolineato che gli utenti dovrebbero scaricare le applicazioni wallet solo dai canali di comunicazione ufficiali di Eternl.
Il dominio appena registrato e l’assenza di annunci ufficiali da parte di Eternl hanno costituito segnali di allarme chiave che sono passati inosservati ad alcuni utenti.
Campagne di phishing simili hanno in precedenza preso di mira gli utenti di criptovalute tramite falsi aggiornamenti software e applicazioni wallet fraudolente.
Leggi anche: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike