2024年12月下旬以降、Cardano(ADA)ユーザーを標的にしたフィッシングキャンペーンが確認されており、Eternlウォレットのデスクトップアプリケーションを装ったマルウェアが配布されています。
セキュリティ研究者は、「Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants.」という件名の、プロフェッショナルに作成されたメールを解析し、この攻撃を特定しました。
この不正メールは、NIGHT やDiffusion Staking Basketプログラムを通じたATMAトークン報酬など、Cardanoエコシステムにおける正当な用語を引用しています。
攻撃者は、検証されていないドメイン download.eternldesktop.network を使用して、悪意あるインストーラーを配布しています。
何が起きたのか
独立系スレットハンターのAnuragは、23.3MBのEternl.msiファイルを解析し、その中にLogMeIn GoTo Resolveリモート管理ソフトウェアが含まれていることを発見しました。
インストーラーは unattended-updater.exe という実行ファイルを生成し、ユーザーの操作なしにリモートアクセスを可能にする設定ファイルを作成します。
このマルウェアは、正規のGoTo Resolveインフラストラクチャに接続し、攻撃者がコマンドを実行したり被害者のシステムを監視したりできるようにします。
ネットワーク解析では、ソフトウェアがJSON形式の情報をリモートサーバー経由で攻撃者に送信していることが確認されました。
メールにはスペルミスがなく、洗練された専門的な文面が使われているため、正規の連絡と区別するのが困難になっています。
また、インストーラーにはデジタル署名やチェックサムによる検証情報が付属しておらず、ユーザーがインストール前に真正性を確認できません。
あわせて読みたい: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
なぜ重要なのか
このキャンペーンは、Cardanoユーザーのシステムへの永続的かつ不正なアクセス権を確立しようとする、サプライチェーン悪用型の攻撃を意味します。
リモート管理ツールが一度被害者の端末にインストールされると、攻撃者は暗号資産ウォレットから資金を引き出したり、認証情報を窃取したりすることができます。
この攻撃は、脅威アクターが正規の管理ソフトウェアを悪用し、アンチウイルス検知を回避する手口を示しています。
セキュリティ研究者は、ウォレットアプリケーションは必ずEternlの公式コミュニケーションチャネルからのみダウンロードすべきだと強調しています。
新規登録されたドメインであることや、Eternlからの公式発表が存在しないことは、本来であればユーザーが気づくべき重要な警告サインでした。
同様のフィッシングキャンペーンはこれまでも、偽のソフトウェアアップデートや詐称ウォレットアプリケーションを通じて暗号資産ユーザーを狙ってきました。
あわせて読みたい: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike