Попередження безпеки гаманця Cardano: Виявлено фішингову атаку Eternl Desktop, ризик віддаленого контролю приватного ключа

Нещодавно поширилася хвиля фішингових атак, спрямованих на користувачів Cardano. Кілька фахівців з безпеки виявили, що зловмисники за допомогою ретельно підроблених електронних листів спонукають користувачів завантажити шахрайський гаманець під назвою Eternl Desktop, що дозволяє отримати контроль над пристроєм і загрожує безпеці криптоактивів. Ця подія вважається однією з найсерйозніших загроз безпеці гаманців у поточній екосистемі Cardano.

Зміст фішингових листів надзвичайно професійний, офіційний тон, граматично правильний, майже без орфографічних або форматних помилок. У листі стверджується, що користувачі можуть отримати нагороди у NIGHT і ATMA через програму Diffusion Staking Basket, що підвищує довіру та спонукає натиснути на посилання для завантаження. Насправді, посилання веде на новий зареєстрований домен download.eternldesktop.network, а не на офіційний ресурс.

Фахівець з безпеки Anurag виявив, що файл Eternl.msi, розповсюджений цим доменом, має розмір приблизно 23.3 МБ і містить прихований інструмент віддаленого управління LogMeIn Resolve. Після встановлення зловмисна програма запускає виконуваний файл unattended-updater.exe і створює повну структуру файлів у каталозі Program Files, а також записує кілька конфігураційних файлів, таких як unattended.json, logger.json, mandatory.json і pc.json. Зокрема, unattended.json автоматично активує віддалений доступ без підтвердження користувача.

Подальший аналіз мережі показав, що ця зловмисна програма підключається до інфраструктури GoTo Resolve і через закодовані API-дані постійно передає системні події на віддалений сервер у форматі JSON. Це означає, що зловмисники, успішно проникнувши у систему, зможуть довгостроково контролювати пристрій жертви, виконувати віддалені команди, красти облікові дані та потенційно отримувати доступ до приватних ключів гаманця. Рівень ризику оцінюється як високий.

Варто зауважити, що шахрайська версія Eternl Desktop майже ідентична офіційній у інтерфейсі та функціоналі, включаючи сумісність із апаратними гаманцями, локальне управління ключами та розширене делегування стейкінгу, що робить її дуже заплутаною. Зловмисники явно використовують наративи щодо управління Cardano, доходів від стейкінгу та екосистемних стимулів для соціальної інженерії.

Фахівці з безпеки наголошують, що всі користувачі Cardano перед завантаженням гаманця або участю у стейкінгу повинні перевіряти джерело програмного забезпечення через офіційні канали та переконатися у дійсності цифрового підпису. Будь-які “оновлення гаманця” з нових доменів, вкладення у листах або посилання, що не є офіційними, слід розглядати як потенційну загрозу. Ця подія ще раз підкреслює реальні виклики безпеки екосистеми Cardano, пов’язані з фішингом гаманців і зловживаннями у ланцюжку поставок.