Carteiras Cardano sob ameaça? campanha de phishing suspeita surge

Uma campanha de phishing está a direcionar-se a utilizadores de Cardano através de emails falsos que promovem o download de uma aplicação fraudulentamente criada, Eternl Desktop.

O ataque aproveita mensagens profissionalmente elaboradas que fazem referência a recompensas em tokens NIGHT e ATMA através do programa Diffusion Staking Basket para estabelecer credibilidade.

O caçador de ameaças Anurag identificou um instalador malicioso distribuído através de um domínio recentemente registado, download.eternldesktop.network.

O ficheiro Eternl.msi de 23,3 megabytes contém uma ferramenta de gestão remota LogMeIn Resolve escondida que estabelece acesso não autorizado aos sistemas das vítimas sem o conhecimento do utilizador.

Fake installer inclui um cavalo de Troia de acesso remoto

O instalador MSI malicioso carrega um ficheiro executável chamado unattended-updater.exe com o nome original. Durante a execução, o executável cria uma estrutura de pastas na diretoria de Program Files do sistema.

O instalador escreve múltiplos ficheiros de configuração, incluindo unattended.json, logger.json, mandatory.json e pc.json.

A configuração unattended.json habilita a funcionalidade de acesso remoto sem necessidade de interação do utilizador.

A análise de rede revela que o malware conecta-se à infraestrutura GoTo Resolve. O executável transmite informações de eventos do sistema em formato JSON para servidores remotos usando credenciais API codificadas.

Os investigadores de segurança classificam o comportamento como crítico. Ferramentas de gestão remota oferecem aos atores de ameaça capacidades para persistência a longo prazo, execução remota de comandos e recolha de credenciais após a instalação nos sistemas das vítimas.

Os emails de phishing mantêm um tom polido e profissional, com gramática correta e sem erros ortográficos.

O anúncio fraudulento cria uma réplica quase idêntica da versão oficial do Eternl Desktop, incluindo mensagens sobre compatibilidade com carteiras de hardware, gestão de chaves local e controlos avançados de delegação.

Campanha direcionada a utilizadores de Cardano

Os atacantes aproveitam narrativas de governação de criptomoedas e referências específicas ao ecossistema para distribuir ferramentas de acesso covertas.

Referências a recompensas em tokens NIGHT e ATMA através do programa Diffusion Staking Basket conferem falsa legitimidade à campanha maliciosa.

Utilizadores de Cardano que pretendem participar em funcionalidades de staking ou governação enfrentam alto risco devido a táticas de engenharia social que imitam desenvolvimentos legítimos do ecossistema.

O domínio recentemente registado distribui o instalador sem verificação oficial ou validação de assinatura digital.

Os utilizadores devem verificar a autenticidade do software exclusivamente através de canais oficiais antes de descarregar aplicações de carteira.

A análise de malware de Anurag revelou uma tentativa de abuso na cadeia de fornecimento com o objetivo de estabelecer acesso não autorizado persistente.

A ferramenta GoTo Resolve fornece aos atacantes capacidades de controlo remoto que comprometem a segurança da carteira e o acesso às chaves privadas.

Os utilizadores devem evitar descarregar aplicações de carteira de fontes não verificadas ou domínios recentemente registados, independentemente da aparência profissional ou polida do email.