Безопасность кошелька Cardano: Обнаружена фишинговая атака Eternl Desktop, риск удаленного контроля из-за приватных ключей

В последнее время распространяется сеть фишинговых атак, направленных на пользователей Cardano. Несколько специалистов по безопасности обнаружили, что злоумышленники с помощью тщательно подделённых электронных писем побуждают пользователей скачать мошенническое приложение кошелька под названием Eternl Desktop, что позволяет им получить контроль над устройством и поставить под угрозу безопасность криптоактивов. Этот инцидент считается одним из наиболее серьёзных рисков безопасности кошельков в текущей экосистеме Cardano.

Содержание фишинговых писем выполнено на очень профессиональном уровне, с официальным и строгим тоном, грамматически безупречно, практически без ошибок в орфографии или форматировании. В письме утверждается, что пользователи могут получить награды в виде токенов NIGHT и ATMA через программу Diffusion Staking Basket, что повышает доверие и побуждает перейти по ссылке для скачивания. На самом деле, эта ссылка ведёт на новый зарегистрированный домен download.eternldesktop.network, а не на официальный сайт.

Специалист по безопасности Anurag обнаружил, что установочный пакет Eternl.msi, распространяемый через этот домен, имеет размер около 23.3 МБ и содержит скрытый инструмент удалённого управления LogMeIn Resolve. После установки вредоносная программа запускает исполняемый файл unattended-updater.exe и создает полную файловую структуру в каталоге Program Files, одновременно записывая несколько конфигурационных файлов, таких как unattended.json, logger.json, mandatory.json и pc.json. В частности, файл unattended.json напрямую активирует удалённый доступ без подтверждения пользователя.

Дополнительный анализ сети показал, что эта вредоносная программа подключается к инфраструктуре GoTo Resolve и с помощью закодированных API-учётных данных постоянно передает системные события на удалённый сервер в формате JSON. Это означает, что при успешном взломе злоумышленники смогут долгое время сохранять контроль над устройством жертвы, включая выполнение команд удалённо, кражу учётных данных и потенциальный доступ к приватным ключам кошелька. Уровень риска оценивается как высокий.

Стоит отметить, что мошенническая версия Eternl Desktop практически полностью копирует официальный интерфейс и функциональность, включая совместимость с аппаратными кошельками, локальное управление ключами и расширенные функции делегирования стейкинга, что делает её очень запутывающей. Злоумышленники явно используют нарративы, связанные с управлением Cardano, доходами от стейкинга и экологическими стимулами, для проведения социальной инженерии.

Эксперты по безопасности предупреждают, что все пользователи Cardano должны перед скачиванием кошелька или участием в стейкинге проверять источник программного обеспечения через официальные каналы и удостоверяться в действительности цифровой подписи. Любые «обновления кошелька» с новых зарегистрированных доменов, вложения в электронных письмах или ссылки, не являющиеся официальными, следует рассматривать как потенциальную угрозу. Этот инцидент ещё раз подчёркивает актуальные вызовы безопасности экосистемы Cardano, связанные с фишингом кошельков и злоупотреблением цепочки поставок.