Uma campanha de phishing visando usuários de Cardano (ADA) vem circulando desde o final de dezembro, distribuindo malware disfarçado como o aplicativo desktop da carteira Eternl.
Pesquisadores de segurança identificaram o ataque após analisar e‑mails profissionalmente elaborados com o título "Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants."
As mensagens fraudulentas fazem referência a termos legítimos do ecossistema Cardano, incluindo NIGHT e recompensas do token ATMA por meio do programa Diffusion Staking Basket.
Os atacantes usam o domínio não verificado download.eternldesktop.network para distribuir o instalador malicioso.
O que aconteceu
O caçador de ameaças independente Anurag analisou o arquivo Eternl.msi de 23,3 megabytes e descobriu que ele contém o software de gerenciamento remoto LogMeIn GoTo Resolve.
O instalador extrai um executável chamado unattended-updater.exe que cria arquivos de configuração permitindo acesso remoto sem interação do usuário.
O malware estabelece conexões com a infraestrutura legítima do GoTo Resolve, permitindo que atacantes executem comandos e monitorem os sistemas das vítimas.
A análise de rede mostrou que o software envia informações aos atacantes em formato JSON por meio de servidores remotos.
Os e‑mails não contêm erros de ortografia e utilizam linguagem profissional e bem polida, tornando difícil distingui‑los de comunicações legítimas.
Nenhuma assinatura digital ou verificação de checksum acompanha o instalador, impedindo que os usuários validem a autenticidade antes da instalação.
Leia também: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Por que isso importa
A campanha representa uma tentativa de abuso da cadeia de suprimentos voltada a estabelecer acesso não autorizado e persistente aos sistemas de usuários de Cardano.
Ferramentas de gerenciamento remoto permitem que atacantes esvaziem carteiras de criptomoedas e roubem credenciais depois de instaladas nas máquinas das vítimas.
O ataque demonstra como agentes de ameaça exploram software administrativo legítimo para contornar a detecção por antivírus.
Pesquisadores de segurança enfatizaram que os usuários devem baixar aplicativos de carteira apenas por meio dos canais oficiais de comunicação da Eternl.
O domínio recém‑registrado e a ausência de anúncios oficiais da Eternl serviram como sinais de alerta importantes que passaram despercebidos por alguns usuários.
Campanhas de phishing semelhantes já visaram anteriormente usuários de criptomoedas por meio de falsas atualizações de software e aplicativos de carteira fraudulentos.
Leia também: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike