Usuarios de Cardano son objetivo en campaña de phishing con falsa billetera de escritorio Eternl

Source: Yellow Original Title: Usuarios de Cardano son objetivo en campaña de phishing con falsa billetera de escritorio Eternl

Original Link: Una campaña de phishing dirigida a usuarios de Cardano (ADA) ha estado circulando desde finales de diciembre, distribuyendo malware disfrazado como la aplicación de escritorio de la billetera Eternl.

Investigadores de seguridad identificaron el ataque tras analizar correos electrónicos elaborados profesionalmente titulados “Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants.”

Los mensajes fraudulentos hacen referencia a términos legítimos del ecosistema Cardano, incluyendo NIGHT y recompensas del token ATMA a través del programa Diffusion Staking Basket.

Los atacantes utilizan el dominio no verificado download.eternldesktop.network para distribuir el instalador malicioso.

Qué ocurrió

El cazador de amenazas independiente Anurag analizó el archivo Eternl.msi de 23,3 megabytes y descubrió que contiene el software de gestión remota LogMeIn GoTo Resolve.

El instalador descarga un ejecutable llamado unattended-updater.exe que crea archivos de configuración que habilitan el acceso remoto sin interacción del usuario.

El malware establece conexiones con la infraestructura legítima de GoTo Resolve, lo que permite a los atacantes ejecutar comandos y monitorizar los sistemas de las víctimas.

El análisis de red mostró que el software envía información a los atacantes en formato JSON a través de servidores remotos.

Los correos electrónicos no contienen errores ortográficos y utilizan un lenguaje profesional y pulido, lo que los hace difíciles de distinguir de comunicaciones legítimas.

El instalador no va acompañado de firma digital ni verificación de checksum, lo que impide a los usuarios validar su autenticidad antes de la instalación.

Por qué es importante

La campaña representa un intento de abuso de la cadena de suministro destinado a establecer acceso no autorizado y persistente a los sistemas de los usuarios de Cardano.

Las herramientas de gestión remota permiten a los atacantes vaciar billeteras de criptomonedas y robar credenciales una vez instaladas en las máquinas de las víctimas.

El ataque demuestra cómo los actores de amenazas explotan software administrativo legítimo para eludir la detección por antivirus.

Los investigadores de seguridad enfatizaron que los usuarios solo deben descargar aplicaciones de billetera desde los canales oficiales de comunicación de Eternl.

El dominio recién registrado y la falta de anuncios oficiales por parte de Eternl sirvieron como señales de advertencia clave que pasaron desapercibidas para algunos usuarios.

Campañas de phishing similares han tenido como objetivo previamente a usuarios de criptomonedas mediante falsas actualizaciones de software y aplicaciones de billetera fraudulentas.