Kampania phishingowa wymierzona w użytkowników Cardano (ADA) krąży od końca grudnia, rozpowszechniając złośliwe oprogramowanie podszywające się pod aplikację desktopową portfela Eternl.
Badacze bezpieczeństwa zidentyfikowali atak po przeanalizowaniu profesjonalnie przygotowanych e‑maili zatytułowanych „Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants”.
Fałszywe wiadomości odwołują się do prawdziwych terminów z ekosystemu Cardano, w tym NIGHT oraz nagród tokenowych ATMA w ramach programu Diffusion Staking Basket.
Atakujący wykorzystują niezweryfikowaną domenę download.eternldesktop.network do dystrybucji złośliwego instalatora.
Co się stało
Niezależny łowca zagrożeń Anurag przeanalizował plik Eternl.msi o rozmiarze 23,3 MB i odkrył, że zawiera on oprogramowanie do zdalnego zarządzania LogMeIn GoTo Resolve.
Instalator wypakowuje plik wykonywalny o nazwie unattended-updater.exe, który tworzy pliki konfiguracyjne umożliwiające zdalny dostęp bez interakcji użytkownika.
Złośliwe oprogramowanie nawiązuje połączenia z legalną infrastrukturą GoTo Resolve, co pozwala atakującym wykonywać polecenia i monitorować systemy ofiar.
Analiza ruchu sieciowego wykazała, że oprogramowanie wysyła informacje do atakujących w formacie JSON za pośrednictwem zdalnych serwerów.
E‑maile nie zawierają błędów ortograficznych i używają dopracowanego, profesjonalnego języka, co utrudnia ich odróżnienie od prawdziwej korespondencji.
Instalatorowi nie towarzyszy żaden podpis cyfrowy ani suma kontrolna, co uniemożliwia użytkownikom potwierdzenie jego autentyczności przed instalacją.
Read also: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Dlaczego to istotne
Kampania stanowi próbę nadużycia łańcucha dostaw, mającą na celu uzyskanie trwałego, nieautoryzowanego dostępu do systemów użytkowników Cardano.
Narzędzia zdalnego zarządzania pozwalają atakującym opróżniać portfele kryptowalutowe i kraść dane logowania po zainstalowaniu ich na komputerach ofiar.
Atak pokazuje, w jaki sposób przestępcy wykorzystują legalne oprogramowanie administracyjne do omijania wykrywania przez programy antywirusowe.
Badacze bezpieczeństwa podkreślili, że użytkownicy powinni pobierać aplikacje portfela wyłącznie z oficjalnych kanałów komunikacji Eternl.
Nowo zarejestrowana domena oraz brak oficjalnych ogłoszeń ze strony Eternl były kluczowymi sygnałami ostrzegawczymi, które pozostały niezauważone przez część użytkowników.
Podobne kampanie phishingowe wcześniej atakowały użytkowników kryptowalut za pomocą fałszywych aktualizacji oprogramowania i podrobionych aplikacji portfeli.
Read also: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike