Cardano (ADA) 사용자를 노리는 피싱 캠페인이 12월 말부터 유포되기 시작했으며, Eternl 지갑의 데스크톱 애플리케이션으로 위장한 악성코드를 배포하고 있습니다.
보안 연구원들은 "Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants."라는 제목의 전문적으로 작성된 이메일을 분석한 뒤 이 공격을 identified했습니다.
이 사기성 메시지들은 NIGHT와 Diffusion Staking Basket 프로그램을 통한 ATMA 토큰 보상 등, Cardano 생태계의 실제 용어들을 언급하고 있습니다.
공격자들은 검증되지 않은 도메인인 download.eternldesktop.network를 사용해 악성 설치 파일을 배포합니다.
What Happened
독립 위협 헌터 Anurag는 23.3MB 크기의 Eternl.msi 파일을 analyzed한 결과, 그 안에 LogMeIn GoTo Resolve 원격 관리 소프트웨어가 포함되어 있음을 발견했습니다.
설치 프로그램은 unattended-updater.exe라는 실행 파일을 생성하며, 사용자 개입 없이 원격 접속을 가능하게 하는 구성 파일들을 만듭니다.
이 악성코드는 합법적인 GoTo Resolve 인프라와 연결을 설정해 공격자가 명령을 실행하고 피해자 시스템을 모니터링할 수 있게 합니다.
네트워크 분석 결과, 해당 소프트웨어가 원격 서버를 통해 JSON 형식으로 공격자에게 정보를 전송하는 것이 확인되었습니다.
이메일에는 맞춤법 오류가 전혀 없고, 세련된 전문 용어를 사용하고 있어 정상적인 공식 커뮤니케이션과 구별하기 어렵습니다.
설치 파일에는 디지털 서명이나 체크섬 검증 정보가 포함되어 있지 않아, 사용자가 설치 전에 진위를 확인할 수 없습니다.
Read also: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Why It Matters
이번 캠페인은 Cardano 사용자의 시스템에 지속적인 무단 접근을 확립하려는 공급망 악용 시도로 평가됩니다.
원격 관리 도구는 피해자 PC에 설치된 후 공격자가 암호화폐 지갑을 비우고 각종 계정 자격 증명을 탈취할 수 있게 합니다.
이 공격은 위협 행위자들이 합법적인 관리용 소프트웨어를 악용해 안티바이러스 탐지를 우회하는 방식을 잘 보여줍니다.
보안 연구원들은 사용자가 지갑 애플리케이션을 설치할 때, 반드시 Eternl의 공식 커뮤니케이션 채널에서만 다운로드해야 한다고 강조했습니다.
새로 등록된 도메인과 Eternl 측의 공식 발표 부재는 중요한 경고 신호였지만, 일부 사용자들은 이를 눈치채지 못했습니다.
이와 유사한 피싱 캠페인은 과거에도 가짜 소프트웨어 업데이트와 사기 지갑 애플리케이션을 통해 암호화폐 사용자를 여러 차례 노린 바 있습니다.
Read also: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike