Campaña de Phishing en Cardano
Una campaña de phishing está atacando a los usuarios de Cardano a través de correos electrónicos falsos que promueven la descarga de una aplicación fraudulenta llamada Eternl Desktop. Este ataque se aprovecha de mensajes elaborados profesionalmente que hacen referencia a recompensas de tokens NIGHT y ATMA a través del programa Diffusion Staking Basket, con el fin de establecer credibilidad.
Detalles del Malware
El cazador de amenazas Anurag ha identificado un instalador malicioso distribuido a través de un dominio recién registrado: download.eternldesktop.network. El archivo Eternl.msi, de 23.3 megabytes, contiene una herramienta de gestión remota llamada LogMeIn Resolve, oculta en su interior, que permite el acceso no autorizado a los sistemas de las víctimas sin que el usuario lo sepa.
El instalador MSI malicioso lleva un nombre específico y despliega un ejecutable llamado unattended-updater.exe, que mantiene el nombre de archivo original. Durante su ejecución, este ejecutable crea una estructura de carpetas en el directorio Program Files del sistema. Además, el instalador escribe múltiples archivos de configuración, incluyendo unattended.json, logger.json, mandatory.json y pc.json. La configuración unattended.json habilita la funcionalidad de acceso remoto sin requerir interacción del usuario.
Comportamiento del Malware
El análisis de red revela que el malware se conecta a la infraestructura de GoTo Resolve, transmitiendo información de eventos del sistema en formato JSON a servidores remotos utilizando credenciales de API codificadas. Los investigadores de seguridad clasifican este comportamiento como crítico. Las herramientas de gestión remota proporcionan a los actores de amenazas capacidades para mantener una persistencia a largo plazo, ejecutar comandos de forma remota y recolectar credenciales una vez instaladas en los sistemas de las víctimas.
Características del Phishing
Los correos electrónicos de phishing mantienen un tono pulido y profesional, con gramática adecuada y sin errores ortográficos. El anuncio fraudulento crea una réplica casi idéntica del lanzamiento oficial de Eternl Desktop, incluyendo mensajes sobre compatibilidad con billeteras de hardware, gestión local de claves y controles avanzados de delegación. Los atacantes utilizan narrativas de gobernanza de criptomonedas y referencias específicas del ecosistema para distribuir herramientas de acceso encubiertas. Las menciones a recompensas de tokens NIGHT y ATMA a través del programa Diffusion Staking Basket otorgan falsa legitimidad a la campaña maliciosa.
Recomendaciones para Usuarios
Los usuarios de Cardano que buscan participar en funciones de staking o gobernanza enfrentan un alto riesgo debido a tácticas de ingeniería social que imitan desarrollos legítimos del ecosistema. El dominio recién registrado distribuye el instalador sin verificación oficial ni validación de firma digital. Por lo tanto, los usuarios deben verificar la autenticidad del software exclusivamente a través de canales oficiales antes de descargar aplicaciones de billetera.
El análisis de malware de Anurag reveló un intento de abuso de la cadena de suministro destinado a establecer acceso no autorizado persistente. La herramienta GoTo Resolve proporciona a los atacantes capacidades de control remoto que comprometen la seguridad de las billeteras y el acceso a claves privadas. Por ello, los usuarios deben evitar descargar aplicaciones de billetera de fuentes no verificadas o dominios recién registrados, independientemente de la pulidez del correo electrónico o la apariencia profesional.
