ผู้ใช้ Cardano ตกเป็นเป้าหมายในแคมเปญฟิชชิง กระเป๋าเงินเดสก์ท็อป Eternl ปลอม

แคมเปญฟิชชิงที่มุ่งเป้าไปยังผู้ใช้ Cardano (ADA) กำลังแพร่กระจายมาตั้งแต่ช่วงปลายเดือนธันวาคม โดยแจกจ่ายมัลแวร์ที่ปลอมตัวเป็นแอปพลิเคชันเดสก์ท็อปของกระเป๋าเงิน Eternl

นักวิจัยด้านความปลอดภัยได้ ค้นพบ การโจมตีนี้หลังจากวิเคราะห์อีเมลที่เขียนอย่างมืออาชีพซึ่งใช้หัวข้อว่า "Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants."

ข้อความอีเมลปลอมอ้างอิงถึงคำศัพท์ในระบบนิเวศ Cardano ที่ถูกต้อง รวมถึง NIGHT และรางวัลโทเคน ATMA ผ่านโปรแกรม Diffusion Staking Basket

ผู้โจมตีใช้โดเมนที่ยังไม่ได้รับการยืนยัน download.eternldesktop.network เพื่อแจกจ่ายตัวติดตั้งที่เป็นอันตราย

เกิดอะไรขึ้น

นักล่าภัยคุกคามอิสระชื่อ Anurag ได้ วิเคราะห์ ไฟล์ Eternl.msi ขนาด 23.3 เมกะไบต์ และพบว่าภายในมีซอฟต์แวร์จัดการระยะไกล LogMeIn GoTo Resolve

ตัวติดตั้งจะวางไฟล์ปฏิบัติการชื่อ unattended-updater.exe ซึ่งจะสร้างไฟล์กำหนดค่าที่เปิดให้เข้าถึงจากระยะไกลโดยไม่ต้องมีการโต้ตอบจากผู้ใช้

มัลแวร์จะเชื่อมต่อไปยังโครงสร้างพื้นฐาน GoTo Resolve ที่ถูกต้อง ทำให้ผู้โจมตีสามารถรันคำสั่งและเฝ้าดูระบบของเหยื่อได้

การวิเคราะห์ทราฟฟิกเครือข่ายแสดงให้เห็นว่าซอฟต์แวร์ส่งข้อมูลไปยังผู้โจมตีในรูปแบบ JSON ผ่านเซิร์ฟเวอร์ระยะไกล

อีเมลไม่มีข้อผิดพลาดด้านการสะกดคำและใช้ภาษาเชิงวิชาชีพที่ลื่นไหล ทำให้แยกแยะออกจากการสื่อสารที่ถูกต้องได้ยาก

ตัวติดตั้งไม่มีลายเซ็นดิจิทัลหรือค่าเช็กซัมสำหรับตรวจสอบ ส่งผลให้ผู้ใช้ไม่สามารถยืนยันความถูกต้องก่อนการติดตั้งได้

Read also: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem

ทำไมเรื่องนี้จึงสำคัญ

แคมเปญนี้เป็นความพยายามโจมตีห่วงโซ่อุปทาน (supply chain) ที่มุ่งสร้างการเข้าถึงระบบของผู้ใช้ Cardano อย่างลับ ๆ และยั่งยืนโดยไม่ได้รับอนุญาต

เครื่องมือจัดการระยะไกลช่วยให้ผู้โจมตีสามารถดูดสินทรัพย์จากกระเป๋าเงินคริปโตและขโมยข้อมูลรับรองการล็อกอินเมื่อถูกติดตั้งในเครื่องของเหยื่อ

การโจมตีนี้แสดงให้เห็นว่าผู้ไม่หวังดีใช้ประโยชน์จากซอฟต์แวร์ดูแลระบบที่ถูกต้องตามกฎหมายเพื่อหลบเลี่ยงการตรวจจับของโปรแกรมแอนติไวรัสได้อย่างไร

นักวิจัยด้านความปลอดภัยเน้นย้ำว่าผู้ใช้ควรดาวน์โหลดแอปกระเป๋าเงินเฉพาะจากช่องทางการสื่อสารทางการของ Eternl เท่านั้น

โดเมนที่เพิ่งจดทะเบียนใหม่และการไม่มีประกาศอย่างเป็นทางการจาก Eternl ถือเป็นสัญญาณเตือนสำคัญที่ผู้ใช้บางส่วนมองข้ามไป

แคมเปญฟิชชิงในลักษณะคล้ายกันเคยโจมตีผู้ใช้คริปโตเคอร์เรนซีมาก่อนแล้ว ผ่านอัปเดตซอฟต์แวร์ปลอมและแอปกระเป๋าเงินที่เป็นของปลอม

Read also: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike