攻擊者散布帶有 GoTo Resolve 惡意軟體的惡意 Eternl.msi 安裝程式,允許遠端存取和竊取憑證。
網路釣魚電子郵件模仿官方 Eternl 公告,利用質押和治理相關資訊來偽裝成合法訊息。
用戶必須僅從經過驗證的 Eternl 官方渠道下載錢包,以防止持續的未授權存取和惡意軟體感染。
一個高階的網路釣魚攻擊活動正針對 Cardano (ADA) 用戶,透過假冒的電子郵件推廣假冒的 Eternl Desktop 錢包。該活動引用了像 NIGHT 和 ATMA 代幣獎勵等合法生態系統術語。安全專家警告用戶僅從經過驗證的渠道下載錢包軟體,以避免惡意軟體和未授權存取。
威脅追蹤專家 Anurag 發現,該惡意安裝程式由未經驗證的域名 download.eternldesktop.network 分發。這個 23.3 兆字節的 Eternl.msi 檔案內藏一個 LogMeIn GoTo Resolve 遠端管理工具。
在安裝過程中,它會放置一個名為 unattended-updater.exe 的執行檔,並在「Program Files」資料夾下建立配置檔,以實現無需用戶交互的遠端存取。該惡意軟體連接到 GoTo Resolve 基礎設施,並使用硬編碼的 API 憑證以 JSON 格式傳送系統事件資料。
安全研究人員將此活動歸類為危急級別,指出遠端管理工具一旦安裝,便能長期持續存取、執行遠端指令並竊取憑證。
這些網路釣魚電子郵件語言專業,沒有拼寫錯誤,與官方 Eternl Desktop 公告高度相似。訊息推廣硬體錢包相容性、本地密鑰管理和高階委託控制等功能。
攻擊者利用治理相關敘事和生態系統特定的引用,營造出 Diffusion Staking Basket 獎勵的虛假合法性。專家警告,此活動針對尋求參與質押或治理活動的用戶。
該假冒安裝程式沒有數位簽章或驗證,阻止用戶在安裝前確認其真實性。分析師強調,新註冊的域名和非官方下載連結是重要的警示信號。
Anurag 的分析揭示了供應鏈濫用的企圖,讓攻擊者能建立持久存取受害者系統。一旦安裝完成,該惡意軟體會破壞錢包安全性和私鑰存取。安全研究人員建議用戶僅從官方 Eternl 渠道下載錢包應用。
用戶被敦促保持警覺,避免從未經驗證的來源安裝軟體。該活動凸顯加密貨幣生態系統中持續存在的威脅,展示攻擊者如何利用看似可信的更新來控制用戶設備。
