一場鎖定 Cardano (ADA) 使用者的網路釣魚行動自 12 月下旬起流傳,散布偽裝成 Eternl 錢包桌面版應用程式的惡意程式。
資安研究人員在分析一封標題為「Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants.」的專業格式電子郵件後,確認了這起攻擊。
這些詐騙郵件提及 Cardano 生態系中的合法名詞,包括 NIGHT 以及透過 Diffusion Staking Basket 計畫發放的 ATMA 代幣獎勵。
攻擊者使用未經驗證的網域 download.eternldesktop.network 來散布惡意安裝程式。
事件經過
獨立威脅獵人 Anurag 分析 這個 23.3 MB 的 Eternl.msi 檔案後發現,檔案內含 LogMeIn GoTo Resolve 遠端管理軟體。
安裝程式會釋出名為 unattended-updater.exe 的可執行檔,建立設定檔,讓攻擊者在無需使用者互動的情況下取得遠端存取權限。
這支惡意程式會連線到合法的 GoTo Resolve 基礎設施,讓攻擊者可以在受害者電腦上執行指令並監看系統活動。
網路流量分析顯示,該軟體會透過遠端伺服器,以 JSON 格式傳送資訊給攻擊者。
郵件內容沒有拼字錯誤,語氣專業流暢,讓人難以與真正的官方通知區分。
安裝程式沒有附上任何數位簽章或雜湊值供驗證,導致使用者在安裝前無法確認檔案真偽。
延伸閱讀: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
為何重要
這起行動是一種供應鏈濫用攻擊,目的是在 Cardano 使用者系統中建立持久且未授權的遠端存取。
一旦遠端管理工具安裝在受害者電腦上,攻擊者就能掏空加密貨幣錢包並竊取各種憑證。
此攻擊示範了威脅行為者如何濫用合法的系統管理軟體,以繞過防毒軟體偵測。
資安研究人員強調,使用者應只從 Eternl 官方公告的管道下載錢包應用程式。
新註冊的網域名稱以及 Eternl 官方缺乏相關公告,其實都是重要的警訊,但仍被部分使用者忽略。
過去也曾出現類似的網路釣魚行動,透過偽造軟體更新與假錢包應用程式鎖定加密貨幣使用者。
延伸閱讀: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike