一场针对 Cardano (ADA) 用户的网络钓鱼活动自 12 月下旬开始流传,分发伪装成 Eternl 钱包桌面应用的恶意软件。
安全研究人员在分析标题为“Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants.”的专业邮件后发现了这次攻击。
这些伪造邮件提及 Cardano 生态中的合法术语,包括 NIGHT 和 Diffusion Staking Basket 计划中的 ATMA 代币奖励。
攻击者使用未验证的域名 download.eternldesktop.network 分发恶意安装程序。
事件详情
独立威胁猎人 Anurag 分析了大小为 23.3 MB 的 Eternl.msi 文件,发现其中包含 LogMeIn GoTo Resolve 远程管理软件。
该安装程序会释放一个名为 unattended-updater.exe 的可执行文件,用来创建配置文件,从而在无需用户交互的情况下启用远程访问。
恶意软件会与合法的 GoTo Resolve 基础设施建立连接,使攻击者能够在受害者系统上执行命令并进行监控。
网络分析显示,该软件通过远程服务器以 JSON 格式向攻击者发送信息。
邮件中没有拼写错误,语言专业且润色良好,使其难以与合法通知区分。
安装程序未附带任何数字签名或校验和验证,用户在安装前无法验证其真实性。
延伸阅读: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
影响与风险
该活动属于供应链滥用尝试,目标是在 Cardano 用户系统中建立持久的未授权访问。
一旦远程管理工具安装在受害者设备上,攻击者就可以清空加密货币钱包并窃取凭证。
这次攻击展示了威胁行为者如何利用合法的运维软件绕过杀毒软件检测。
安全研究人员强调,用户应仅通过 Eternl 官方沟通渠道下载钱包应用。
新注册的域名以及 Eternl 未发布任何相关官方公告,是重要的预警信号,但被部分用户忽视。
过去也出现过类似的网络钓鱼活动,通过伪造软件更新和虚假钱包应用来针对加密货币用户。
延伸阅读: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike