一場鎖定 Cardano (ADA) 用戶的釣魚活動自 12 月下旬開始流傳,散播偽裝成 Eternl 錢包桌面應用程式的惡意程式。
安全研究人員在分析標題為「Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants.」的專業電郵後,識別 了這次攻擊。
這些詐騙訊息提及 Cardano 生態系中合法的名詞,包括 NIGHT 以及透過 Diffusion Staking Basket 計劃獲得 ATMA 代幣獎勵。
攻擊者使用未經驗證的網域 download.eternldesktop.network 派發惡意安裝程式。
事件經過
獨立威脅獵人 Anurag 分析 了大小為 23.3MB 的 Eternl.msi 檔案,發現其中包含 LogMeIn GoTo Resolve 遠程管理軟件。
安裝程式會投放名為 unattended-updater.exe 的可執行檔,建立設定檔,讓攻擊者在無需用戶互動的情況下取得遠程存取權限。
惡意程式會連線到合法的 GoTo Resolve 基礎設施,使攻擊者可以在受害者系統上執行指令並進行監控。
網絡分析顯示,該軟件以 JSON 格式將資訊透過遠程伺服器發送給攻擊者。
電郵內容沒有拼寫錯誤,並使用專業而流暢的語言,使其難以與真正的官方通訊區分。
安裝程式未附帶任何數碼簽章或雜湊值校驗,令用戶在安裝前無法驗證其真偽。
延伸閱讀: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
為何重要
這次活動屬於濫用供應鏈的企圖,目標是在 Cardano 用戶系統上建立持續且未經授權的遠程存取。
一旦遠程管理工具安裝在受害者裝置上,攻擊者便可清空加密貨幣錢包並竊取憑證。
該攻擊展示了威脅行為者如何濫用合法的系統管理軟件,以繞過防毒軟件偵測。
安全研究人員強調,用戶應只透過 Eternl 官方通訊渠道下載錢包應用程式。
新註冊的網域及 Eternl 未發佈任何官方公告,是關鍵的警示信號,但仍被部分用戶忽略。
過去亦曾出現類似釣魚活動,透過假軟件更新及偽造錢包應用程式鎖定加密貨幣用戶。
延伸閱讀: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike