Uma campanha de phishing direcionada a usuários de Cardano (ADA) está circulando desde o fim de dezembro, distribuindo malware disfarçado como o aplicativo de desktop da carteira Eternl.
Pesquisadores de segurança identificaram o ataque após analisarem e-mails profissionalmente elaborados com o título "Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants."
As mensagens fraudulentas fazem referência a termos legítimos do ecossistema Cardano, incluindo NIGHT e recompensas do token ATMA por meio do programa Diffusion Staking Basket.
Os invasores usam o domínio não verificado download.eternldesktop.network para distribuir o instalador malicioso.
O que aconteceu
O caçador de ameaças independente Anurag analisou o arquivo Eternl.msi de 23,3 megabytes e descobriu que ele contém o software de gerenciamento remoto LogMeIn GoTo Resolve.
O instalador extrai um executável chamado unattended-updater.exe, que cria arquivos de configuração permitindo acesso remoto sem interação do usuário.
O malware estabelece conexões com a infraestrutura legítima do GoTo Resolve, permitindo que os invasores executem comandos e monitorem os sistemas das vítimas.
A análise de rede mostrou que o software envia informações aos invasores em formato JSON por meio de servidores remotos.
Os e-mails não contêm erros de ortografia e usam uma linguagem profissional e polida, tornando difícil distingui-los de comunicações legítimas.
Nenhuma assinatura digital ou verificação por checksum acompanha o instalador, impedindo que os usuários validem a autenticidade antes da instalação.
Leia também: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Por que isso importa
A campanha representa uma tentativa de abuso da cadeia de suprimentos, voltada a estabelecer acesso não autorizado persistente aos sistemas de usuários de Cardano.
Ferramentas de gerenciamento remoto permitem que invasores esvaziem carteiras de criptomoedas e roubem credenciais depois de instaladas nas máquinas das vítimas.
O ataque demonstra como agentes maliciosos exploram software administrativo legítimo para contornar a detecção por antivírus.
Pesquisadores de segurança enfatizaram que os usuários devem baixar aplicativos de carteira apenas por canais oficiais de comunicação da Eternl.
O domínio recém-registrado e a ausência de anúncios oficiais da Eternl serviram como sinais de alerta importantes que passaram despercebidos por alguns usuários.
Campanhas de phishing semelhantes já visaram anteriormente usuários de criptomoedas por meio de falsas atualizações de software e aplicativos de carteira fraudulentos.
Leia também: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike