Alerte de sécurité du portefeuille Cardano : attaque de phishing sur Eternl Desktop révélée, la clé privée risque d'être contrôlée à distance

Récemment, une vague d’attaques de phishing ciblant les utilisateurs de Cardano se propage. Plusieurs chercheurs en sécurité ont découvert que les attaquants utilisaient des e-mails soigneusement falsifiés pour inciter les utilisateurs à télécharger une application de portefeuille frauduleuse nommée Eternl Desktop, afin de prendre le contrôle de leurs appareils et de mettre en danger la sécurité de leurs actifs cryptographiques. Cet incident est considéré comme l’un des risques de sécurité de portefeuille les plus graves dans l’écosystème Cardano actuel.

Le contenu des e-mails d’attaque est très professionnel, avec un ton formel, une grammaire rigoureuse, et presque aucune erreur d’orthographe ou de format. Les messages prétendent que les utilisateurs peuvent obtenir des récompenses en jetons NIGHT et ATMA via le programme Diffusion Staking Basket, afin de renforcer leur crédibilité, et incitent les destinataires à cliquer sur un lien de téléchargement. En réalité, ce lien mène à un nouveau domaine enregistré, download.eternldesktop.network, et non à une source officielle.

Les chercheurs en sécurité, Anurag, ont découvert que le fichier d’installation Eternl.msi distribué par ce domaine fait environ 23,3 Mo et contient un outil de gestion à distance caché, LogMeIn Resolve. Après installation, le programme malveillant libère un fichier exécutable nommé unattended-updater.exe, et crée une structure complète de fichiers dans le répertoire Program Files du système, tout en écrivant plusieurs fichiers de configuration tels que unattended.json, logger.json, mandatory.json et pc.json. Parmi eux, unattended.json active directement un accès à distance sans confirmation de l’utilisateur.

Une analyse réseau plus approfondie montre que ce programme malveillant se connecte à l’infrastructure de GoTo Resolve, et utilise des identifiants API codés en dur pour transmettre en continu des informations sur les événements système à un serveur distant au format JSON. Cela signifie que, si l’attaque réussit, l’attaquant peut maintenir un contrôle à long terme sur l’appareil de la victime, y compris l’exécution de commandes à distance, le vol de crédentiels, et potentiellement l’accès aux clés privées du portefeuille. Le risque de sécurité est évalué comme élevé.

Il est important de noter que la version frauduleuse d’Eternl Desktop copie presque intégralement l’interface et les fonctionnalités de la version officielle, y compris la compatibilité avec les portefeuilles matériels, la gestion des clés locales, et les fonctionnalités avancées de staking et de délégation, ce qui la rend très trompeuse. Les attaquants exploitent manifestement la narration autour de la gouvernance de Cardano, des revenus de staking, et des incitations écologiques pour mener des attaques d’ingénierie sociale.

Les experts en sécurité rappellent que tous les utilisateurs de Cardano doivent vérifier l’origine de tout logiciel de portefeuille téléchargé ou de toute participation à des activités de staking via des canaux officiels, et confirmer la validité de la signature numérique. Tout “mise à jour du portefeuille” provenant d’un nouveau domaine enregistré, d’une pièce jointe d’e-mail ou d’un lien non officiel doit être considéré comme une menace potentielle. Cet incident souligne une fois de plus les défis réels que posent les attaques de phishing sur les portefeuilles cryptographiques et l’abus de la chaîne d’approvisionnement pour la sécurité de l’écosystème Cardano.