- Les attaquants distribuent un programme d'installation malveillant Eternl.msi avec le logiciel malveillant GoTo Resolve, permettant un accès à distance et le vol d'identifiants.
- Les courriels de hameçonnage imitent les annonces officielles d'Eternl, exploitant des références au staking et à la gouvernance pour sembler légitimes.
- Les utilisateurs doivent télécharger les portefeuilles uniquement à partir de canaux Eternl vérifiés afin d'éviter l'accès non autorisé persistant et les infections par logiciels malveillants.
Une campagne de hameçonnage sophistiquée cible les utilisateurs de Cardano (ADA) via des courriels frauduleux promotionnant un portefeuille Eternl Desktop faux. Le campagne fait référence à des termes légitimes d'écosystème tels que NUIT et récompenses en jetons ATMA. Des experts en sécurité avertissent les utilisateurs de ne télécharger le logiciel de portefeuille que depuis des canaux vérifiés afin d'éviter les logiciels malveillants et l'accès non autorisé.
Logiciel malveillant déguisé en logiciel de portefeuille
Chasseur de menaces, Anurag a identifié l'installeur malveillant distribué via le domaine non vérifié download.eternldesktop.network. Le fichier Eternl.msi de 23,3 mégaoctets contient un outil de gestion à distance LogMeIn GoTo Resolve caché.
Pendant l'installation, il dépose un exécutable appelé unattended-updater.exe, qui crée des fichiers de configuration sous Program Files afin d'activer l'accès distant sans interaction de l'utilisateur. Le logiciel malveillant se connecte à l'infrastructure GoTo Resolve, transmettant des données d'événements système au format JSON en utilisant des identifiants API codés en dur.
Les chercheurs en sécurité ont classifié l'activité comme critique, notant que les outils de gestion à distance permettent une persistance à long terme, l'exécution de commandes à distance et le vol d'identifiants une fois installés.
La campagne utilise des techniques professionnelles d'hameçonnage
Le hameçonnage les e-mails maintiennent un langage professionnel sans fautes d'orthographe, imitant de près les annonces officielles d'Eternl Desktop. Les messages promeuvent des fonctionnalités telles que la compatibilité avec les portefeuilles matériels, la gestion locale des clés et les contrôles avancés de délégation.
Les attaquants exploitent des récits de gouvernance et des références spécifiques à l'écosystème, créant une légitimité fausse autour des récompenses du panier Diffusion Staking. Des experts mettent en garde contre le fait que la campagne cible les utilisateurs souhaitant participer à des activités de staking ou de gouvernance.
L'installeur frauduleux manque de signatures numériques ou de vérification, empêchant les utilisateurs de confirmer l'authenticité avant l'installation. Les analystes soulignent que les domaines nouvellement enregistrés et les liens de téléchargement non officiels sont des signes d'alerte clés.
Risque d'accès non autorisé persistant
L'analyse d'Anurag a révélé l'intention d'abus de la chaîne d'approvisionnement, permettant attaquants pour établir un accès persistant aux systèmes des victimes. Une fois installé, le logiciel malveillant compromet la sécurité du portefeuille et l'accès à la clé privée. Les chercheurs en sécurité recommandent de télécharger les applications de portefeuille uniquement via les canaux officiels Eternl.
Les utilisateurs sont invités à rester prudents et à éviter d'installer des logiciels provenant de sources non vérifiées. La campagne met en évidence les menaces persistantes dans l'écosystème des cryptomonnaies, démontrant comment les attaquants exploitent des mises à jour qui semblent fiables pour prendre le contrôle des appareils des utilisateurs.