¿Las carteras de Cardano están bajo amenaza? surge una campaña de phishing sospechosa

Una campaña de phishing está dirigida a usuarios de Cardano a través de correos electrónicos falsos que promocionan la descarga de una aplicación fraudulenta de Eternl Desktop.

El ataque aprovecha mensajes elaborados profesionalmente que hacen referencia a las recompensas de los tokens NIGHT y ATMA mediante el programa Diffusion Staking Basket para establecer credibilidad.

El cazador de amenazas Anurag identificó un instalador malicioso distribuido a través de un dominio recién registrado, download.eternldesktop.network.

El archivo Eternl.msi de 23.3 megabytes contiene una herramienta oculta de gestión remota LogMeIn Resolve que establece acceso no autorizado a los sistemas de las víctimas sin que el usuario lo sepa.

El instalador falso incluye un troyano de acceso remoto

El instalador MSI malicioso lleva a cabo una tarea específica y deja un ejecutable llamado unattended-updater.exe con el nombre original. Durante la ejecución, el ejecutable crea una estructura de carpetas en el directorio Program Files del sistema.

El instalador escribe múltiples archivos de configuración, incluyendo unattended.json, logger.json, mandatory.json y pc.json.

La configuración unattended.json habilita la funcionalidad de acceso remoto sin requerir interacción del usuario.

El análisis de red revela que el malware se conecta a la infraestructura de GoTo Resolve. El ejecutable transmite información de eventos del sistema en formato JSON a servidores remotos usando credenciales API codificadas en el código.

Los investigadores de seguridad clasifican el comportamiento como crítico. Las herramientas de gestión remota proporcionan a los actores de amenazas capacidades para persistencia a largo plazo, ejecución remota de comandos y recopilación de credenciales una vez instaladas en los sistemas de las víctimas.

Los correos electrónicos de phishing mantienen un tono pulido y profesional, con gramática correcta y sin errores ortográficos.

El anuncio fraudulento crea una réplica casi idéntica de la versión oficial de Eternl Desktop, con mensajes sobre compatibilidad con billeteras de hardware, gestión de claves local y controles avanzados de delegación.

Campaña dirigida a usuarios de Cardano

Los atacantes utilizan narrativas de gobernanza de criptomonedas y referencias específicas del ecosistema para distribuir herramientas de acceso encubierto.

Las referencias a las recompensas de los tokens NIGHT y ATMA a través del programa Diffusion Staking Basket otorgan una falsa legitimidad a la campaña maliciosa.

Los usuarios de Cardano que buscan participar en funciones de staking o gobernanza enfrentan un alto riesgo por tácticas de ingeniería social que imitan desarrollos legítimos del ecosistema.

El dominio recién registrado distribuye el instalador sin verificación oficial ni validación de firma digital.

Los usuarios deben verificar la autenticidad del software exclusivamente a través de canales oficiales antes de descargar aplicaciones de billetera.

El análisis de malware de Anurag reveló que el intento de abuso en la cadena de suministro tenía como objetivo establecer acceso no autorizado persistente.

La herramienta GoTo Resolve proporciona a los atacantes capacidades de control remoto que comprometen la seguridad de la billetera y el acceso a claves privadas.

Los usuarios deben evitar descargar aplicaciones de billetera desde fuentes no verificadas o dominios recién registrados, independientemente de la apariencia profesional o la pulcritud del correo electrónico.