Користувачі Cardano, будьте обережні: атаки фішингу на гаманці Eternl посилюються, зловмисне програмне забезпечення може віддалено керувати пристроєм і приватними ключами

Увага! В еко-системі Cardano поширюється ретельно спланована фішинг-атака. Зловмисники підробляють професійні листи, стверджуючи про надання нагород у вигляді токенів NIGHT та ATMA, щоб спонукати користувачів завантажити шахрайську версію гаманця Eternl Desktop. Після встановлення шкідливий софт запускає віддалений інструмент управління, що дозволяє зловмисникам довгостроково контролювати пристрій жертви, включаючи доступ до приватних ключів гаманця. Це оцінено фахівцями з безпеки як високоризиковий загрозливий рівень.

Методи атаки: виглядає як професійна соціальна інженерія

Ідеальний дизайн фальшивого листа

Фішингові листи мають високий рівень професіоналізму. Тон листа офіційний, граматика бездоганна, майже немає орфографічних або форматних помилок, що значно підвищує їхню переконливість. У листі стверджується, що користувач може отримати нагороди у вигляді токенів NIGHT та ATMA через програму “Diffusion Staking Basket”, використовуючи реальні історії про стейкінг у Cardano для підвищення довіри. Такий соціальний інженерний напад, що базується на реальних проектах, важче виявити, ніж звичайний спам.

Прихована структура шкідливого ПЗ

Аналіз фахівця з безпеки Anurag показує, що фальшивий домен download.eternldesktop.network розповсюджує інсталяційний пакет Eternl.msi розміром близько 23.3 МБ, у якому приховано віддалений інструмент управління LogMeIn Resolve. Після встановлення шкідливий софт створює виконуваний файл під назвою unattended-updater.exe та формує повну файлову структуру у каталозі Program Files, записуючи кілька конфігураційних файлів. Зокрема, unattended.json безпосередньо активує віддалений доступ без підтвердження користувача.

Це означає, що користувачі без їхнього відома відкривають зловмисникам задній хід у своєму пристрої.

Постійна віддалена керованість

Шкідливий софт підключається до інфраструктури GoTo Resolve, використовуючи зашиті API-ключі, і постійно передає системні події у форматі JSON на віддалений сервер. Після проникнення зловмисники отримують довгостроковий контроль над пристроєм, включаючи виконання команд, крадіжку облікових даних та доступ до приватних ключів гаманця. Це не разова крадіжка даних, а створення постійного каналу управління.

Чому ця атака особливо небезпечна

Як користувачам захиститися

Негайно діяти

• Якщо ви вже завантажили Eternl Desktop, перевірте джерело завантаження та домен
• Якщо завантажували з download.eternldesktop.network — негайно видаліть та проскануйте систему
• Якщо на пристрої зберігалися ADA або інші криптоактиви, розгляньте можливість переказу активів на безпечний пристрій

Перевірка офіційних каналів

• Всі додатки гаманця слід завантажувати лише з офіційних сайтів або офіційних магазинів
• Правильний домен для Eternl — eternl.io, будь-які інші домени слід сприймати з обережністю
• Перевіряйте дійсність цифрового підпису — це технічний стандарт для визначення автентичності програмного забезпечення

Виявлення фішингових ознак

• Будь-які “оновлення гаманця” з неофіційних джерел слід вважати потенційною загрозою
• Виконувані файли у листах (.exe, .msi тощо) потребують особливої обережності
• Нові домени, скорочені посилання, посилання з неофіційних соцмереж — високий ризик

Глибші проблеми, що це висвітлює

Ця подія знову показує реальні виклики у крипто-гаманцевій екосистемі: користувачі довіряють додаткам гаманця, але мають обмежені можливості перевірки їхньої автентичності. Зловмисники використовують цю інформаційну нерівність, застосовуючи ретельно сплановані соціальні інженерні методи для прориву захисту.

Eternl, як відомий гаманець у Cardano-екосистемі, через свою високу популярність стає ціллю для атак. Це свідчить, що навіть зрілі проекти не застраховані від підробок.

Підсумок

Ця фішинг-атака особливо небезпечна через поєднання трьох аспектів: професійного соціального інженерного дизайну, прихованого впровадження шкідливого ПЗ та здатності довгостроково контролювати пристрій користувача. Для користувачів Cardano найактуальніше — негайно перевірити джерело гаманця і переконатися, що не встановлено шахрайську версію. У довгостроковій перспективі це також нагадування всій крипто-екосистемі про необхідність створення більш ефективних механізмів перевірки автентичності програмного забезпечення, а не лише покладанняся на пильність користувачів. Перед завантаженням будь-якого додатку гаманця витратьте ще 30 секунд на перевірку офіційних каналів — це може врятувати ваші активи на мільйони.