Een phishingcampagne die zich richt op Cardano (ADA)- gebruikers circuleert sinds eind december en verspreidt malware die zich voordoet als de desktopapplicatie van de Eternl-wallet.
Security-onderzoekers identified de aanval na analyse van professioneel opgestelde e-mails met als onderwerp "Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants."
De frauduleuze berichten verwijzen naar legitieme termen uit het Cardano-ecosysteem, waaronder NIGHT en ATMA-tokenbeloningen via het Diffusion Staking Basket-programma.
Aanvallers gebruiken het niet-geverifieerde domein download.eternldesktop.network om het kwaadaardige installatieprogramma te verspreiden.
Wat er is gebeurd
Onafhankelijk threat hunter Anurag analyzed het 23,3-megabyte bestand Eternl.msi en ontdekte dat het LogMeIn GoTo Resolve remote management-software bevat.
Het installatieprogramma plaatst een uitvoerbaar bestand met de naam unattended-updater.exe dat configuratiebestanden aanmaakt waarmee externe toegang zonder gebruikersinteractie mogelijk wordt.
De malware legt verbindingen met legitieme GoTo Resolve-infrastructuur, waardoor aanvallers opdrachten kunnen uitvoeren en systemen van slachtoffers kunnen monitoren.
Netwerkanalyse liet zien dat de software informatie in JSON-formaat naar aanvallers verzendt via externe servers.
De e-mails bevatten geen spelfouten en gebruiken verzorgde, professionele taal, waardoor ze moeilijk te onderscheiden zijn van legitieme communicatie.
Er wordt geen digitale handtekening of checksum-verificatie met het installatieprogramma meegeleverd, waardoor gebruikers de echtheid vóór installatie niet kunnen controleren.
Lees ook: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Waarom het belangrijk is
De campagne vormt een poging tot misbruik van de supply chain, gericht op het verkrijgen van blijvende, ongeautoriseerde toegang tot systemen van Cardano-gebruikers.
Remote management-tools stellen aanvallers in staat cryptowallets leeg te halen en inloggegevens te stelen zodra ze op de machines van slachtoffers zijn geïnstalleerd.
De aanval laat zien hoe dreigingsactoren legitieme beheersoftware misbruiken om antivirusdetectie te omzeilen.
Security-onderzoekers benadrukten dat gebruikers walletapplicaties uitsluitend moeten downloaden via officiële communicatiekanalen van Eternl.
Het pas geregistreerde domein en het ontbreken van officiële aankondigingen van Eternl waren belangrijke waarschuwingssignalen die door sommige gebruikers over het hoofd zijn gezien.
Vergelijkbare phishingcampagnes hebben eerder cryptogebruikers geviseerd via valse software-updates en frauduleuze walletapplicaties.
Lees ook: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike