Фишинговая кампания, нацеленная на пользователей Cardano (ADA), распространяется с конца декабря и распространяет вредоносное ПО, замаскированное под десктоп‑приложение кошелька Eternl.
Исследователи безопасности identified атаку после анализа профессионально оформленных писем с темой «Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants».
Мошеннические сообщения ссылаются на легитимные термины экосистемы Cardano, включая NIGHT и вознаграждения токенами ATMA через программу Diffusion Staking Basket.
Злоумышленники используют непроверенный домен download.eternldesktop.network для распространения вредоносного установщика.
Что произошло
Независимый охотник за угрозами Anurag analyzed файл Eternl.msi размером 23,3 МБ и обнаружил, что он содержит программное обеспечение удалённого администрирования LogMeIn GoTo Resolve.
Установщик разворачивает исполняемый файл с названием unattended-updater.exe, который создаёт конфигурационные файлы, позволяющие осуществлять удалённый доступ без участия пользователя.
Вредоносное ПО устанавливает соединения с легитимной инфраструктурой GoTo Resolve, позволяя злоумышленникам выполнять команды и отслеживать системы жертв.
Анализ сетевой активности показал, что программное обеспечение отправляет информацию злоумышленникам в формате JSON через удалённые серверы.
Письма не содержат орфографических ошибок и написаны выверенным профессиональным языком, что затрудняет их отличение от легитимных уведомлений.
Установщик не сопровождается цифровой подписью или контрольной суммой, что не позволяет пользователям проверить его подлинность перед установкой.
Читайте также: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Почему это важно
Кампания представляет собой попытку злоупотребления цепочкой поставок, направленную на установление устойчивого несанкционированного доступа к системам пользователей Cardano.
Инструменты удалённого администрирования позволяют злоумышленникам опустошать криптокошельки и похищать учетные данные после установки на устройства жертв.
Атака демонстрирует, как злоумышленники используют легитимное административное ПО для обхода антивирусной защиты.
Исследователи безопасности подчеркнули, что пользователям следует загружать кошельки только с официальных каналов связи Eternl.
Недавно зарегистрированный домен и отсутствие официальных объявлений от Eternl стали ключевыми признаками опасности, которые некоторые пользователи не заметили.
Подобные фишинговые кампании ранее уже нацеливались на крипто‑пользователей через поддельные обновления ПО и мошеннические приложения‑кошельки.
Читайте также: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike