Usuarios de Cardano, atención: la estafa de phishing con la billetera Eternl ha aumentado, el malware puede controlar remotamente el dispositivo y las claves privadas

Una campaña de phishing cuidadosamente diseñada se está propagando en el ecosistema de Cardano. Los atacantes falsifican correos electrónicos profesionales, afirmando ofrecer recompensas en tokens NIGHT y ATMA, para inducir a los usuarios a descargar una versión fraudulenta de la billetera Eternl Desktop. Una vez instalada, el malware inicia en segundo plano una herramienta de administración remota, permitiendo a los atacantes controlar a largo plazo el dispositivo de la víctima, incluyendo el acceso a las claves privadas de la billetera. Esto ha sido evaluado por investigadores de seguridad como una amenaza de alto riesgo.

Métodos de ataque: una trampa de ingeniería social que parece profesional

Diseño “perfecto” del correo falsificado

Los correos de phishing tienen un alto nivel de profesionalismo. El tono del mensaje es formal, la gramática es rigurosa y casi no hay errores ortográficos o de formato, lo que aumenta su capacidad de engaño. El correo afirma que los usuarios pueden obtener recompensas en tokens NIGHT y ATMA a través del programa “Diffusion Staking Basket”, aprovechando la narrativa real de las ganancias por staking en el ecosistema de Cardano para aumentar la credibilidad. Esta combinación de un fondo de proyecto real con un ataque de ingeniería social es más difícil de detectar que el spam simple.

Disposición oculta del malware

El análisis de los investigadores de seguridad Anurag muestra que el paquete de instalación Eternl.msi, distribuido desde el dominio falso download.eternldesktop.network, tiene un tamaño de aproximadamente 23.3 MB y contiene un troyano de administración remota oculto llamado LogMeIn Resolve. Tras la instalación, el malware libera un archivo ejecutable llamado unattended-updater.exe y crea una estructura completa de archivos en el directorio Program Files del sistema, incluyendo múltiples archivos de configuración. Entre ellos, unattended.json habilita el acceso remoto sin necesidad de confirmación del usuario.

Esto significa que, sin que el usuario lo sepa, ya se ha abierto una puerta trasera en su dispositivo para los atacantes.

Capacidad de control remoto persistente

El malware se conecta a la infraestructura de GoTo Resolve, enviando continuamente información de eventos del sistema a un servidor remoto en formato JSON mediante credenciales API codificadas en el código. Una vez que se logra la intrusión, los atacantes pueden mantener el control del dispositivo a largo plazo, incluyendo la ejecución de comandos remotos, el robo de credenciales y el acceso a las claves privadas de la billetera. No se trata de un robo de datos puntual, sino de la creación de un canal de control persistente.

Por qué esta amenaza es especialmente peligrosa

Cómo deben actuar los usuarios para prevenir

Actúe de inmediato

• Si ha descargado Eternl Desktop, verifique inmediatamente la fuente y el dominio
• Si la descarga proviene de download.eternldesktop.network, desinstale y escanee su sistema
• Si en ese dispositivo se almacenaron ADA u otros activos criptográficos, considere transferir los fondos a un dispositivo seguro

Verifique los canales oficiales

• Todas las aplicaciones de billetera deben descargarse desde el sitio web oficial o tiendas oficiales
• El dominio correcto de Eternl es eternl.io; cualquier otro dominio debe ser considerado sospechoso
• Verifique la validez de la firma digital, que es un estándar técnico para comprobar la autenticidad del software

Identifique señales de phishing

• Cualquier “actualización de billetera” proveniente de canales no oficiales debe considerarse una amenaza potencial
• Los archivos ejecutables en correos electrónicos (.exe, .msi, etc.) requieren especial precaución
• Nuevos dominios, enlaces acortados y enlaces de descarga enviados desde cuentas no oficiales en redes sociales son señales de alto riesgo

Problemas más profundos reflejados

Este incidente vuelve a exponer los desafíos reales del ecosistema de billeteras criptográficas: los usuarios confían mucho en las aplicaciones de billetera, pero tienen una capacidad limitada para verificar su autenticidad. Los atacantes aprovechan esta asimetría de información mediante técnicas de ingeniería social cuidadosamente diseñadas para vulnerar las defensas.

Eternl, como una billetera reconocida en el ecosistema de Cardano, su alta notoriedad se convierte en una herramienta que los atacantes pueden explotar. Esto demuestra que incluso los proyectos maduros no están completamente inmunes a la suplantación.

Resumen

El peligro de este ataque de phishing radica en la combinación de tres aspectos: un diseño de ingeniería social profesional, una implantación oculta de malware y la capacidad de control persistente sobre el dispositivo del usuario. Para los usuarios de Cardano, la tarea más urgente es verificar inmediatamente la fuente de la billetera y asegurarse de no haber instalado una versión fraudulenta. A largo plazo, esto también recuerda a todo el ecosistema cripto la necesidad de establecer mecanismos más efectivos de verificación de autenticidad del software, y no depender únicamente de la vigilancia del usuario. Antes de descargar cualquier aplicación de billetera, tómese 30 segundos adicionales para verificar los canales oficiales; eso podría salvarle millones en activos.