Una campaña de phishing está dirigida a usuarios de Cardano a través de correos electrónicos falsos que promueven la descarga fraudulenta de la aplicación Eternl Desktop.
El ataque aprovecha mensajes elaborados profesionalmente que hacen referencia a recompensas de tokens NIGHT y ATMA a través del programa Diffusion Staking Basket para establecer credibilidad.
El cazador de amenazas Anurag identificó un instalador malicioso distribuido a través de un dominio recién registrado, download.eternldesktop.network.
El archivo Eternl.msi de 23.3 megabytes contiene una herramienta oculta de gestión remota LogMeIn Resolve que establece acceso no autorizado a los sistemas de las víctimas sin conocimiento del usuario.
El instalador falso incluye un troyano de acceso remoto
El instalador MSI malicioso lleva un archivo específico y deposita un ejecutable llamado unattended-updater.exe con el nombre de archivo original. Durante la ejecución, el ejecutable crea una estructura de carpetas bajo el directorio Program Files del sistema.
El instalador escribe múltiples archivos de configuración incluyendo unattended.json, logger.json, mandatory.json y pc.json.
La configuración unattended.json habilita la funcionalidad de acceso remoto sin requerir interacción del usuario.
El análisis de red revela que el malware se conecta a la infraestructura de GoTo Resolve. El ejecutable transmite información de eventos del sistema en formato JSON a servidores remotos utilizando credenciales API codificadas.
Los investigadores de seguridad clasifican el comportamiento como crítico. Las herramientas de gestión remota proporcionan a los actores de amenazas capacidades para persistencia a largo plazo, ejecución de comandos remotos y recolección de credenciales una vez instaladas en los sistemas de las víctimas.
Los correos electrónicos de phishing mantienen un tono pulido y profesional con gramática adecuada y sin errores de ortografía.
El anuncio fraudulento crea una réplica casi idéntica del lanzamiento oficial de Eternl Desktop, completo con mensajes sobre compatibilidad con billeteras de hardware, gestión de claves locales y controles de delegación avanzados.
La campaña tiene como objetivo a usuarios de Cardano
Los atacantes utilizan narrativas de gobernanza de criptomonedas y referencias específicas del ecosistema para distribuir herramientas de acceso encubiertas.
Las referencias a recompensas de tokens NIGHT y ATMA a través del programa Diffusion Staking Basket otorgan falsa legitimidad a la campaña maliciosa.
Los usuarios de Cardano que buscan participar en funciones de staking o gobernanza enfrentan un alto riesgo de tácticas de ingeniería social que imitan desarrollos legítimos del ecosistema.
El dominio recién registrado distribuye el instalador sin verificación oficial o validación de firma digital.
Los usuarios deben verificar la autenticidad del software exclusivamente a través de canales oficiales antes de descargar aplicaciones de billetera.
El análisis de malware de Anurag reveló el intento de abuso de la cadena de suministro dirigido a establecer acceso no autorizado persistente.
La herramienta GoTo Resolve proporciona a los atacantes capacidades de control remoto que comprometen la seguridad de la billetera y el acceso a claves privadas.
Los usuarios deben evitar descargar aplicaciones de billetera de fuentes no verificadas o dominios recién registrados independientemente de la apariencia pulida o profesional del correo electrónico.
Fuente: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
