Comunidad de Cardano bajo ataque: la última campaña de phishing apunta a los usuarios de billeteras

Los usuarios de Cardano enfrentan una crisis de seguridad en aumento a medida que los ciberdelincuentes lanzan una operación de phishing sofisticada que impersona al equipo de la billetera Eternl Desktop. La campaña utiliza correos electrónicos fraudulentos que promocionan recompensas falsas en criptomonedas para distribuir malware capaz de otorgar a los atacantes control total del sistema. Esto representa una amenaza crítica para quienes poseen o stakean activos de Cardano, combinando tácticas de ingeniería social con mecanismos avanzados de entrega de malware.

Cómo se desarrolla el ataque de phishing

El ataque comienza con correos electrónicos engañosos que se hacen pasar por comunicaciones oficiales del equipo de desarrollo de Eternl. Estos mensajes fraudulentos emplean un lenguaje profesional, un formato pulido y funciones de gobernanza que suenan legítimas para generar credibilidad. Los destinatarios son atraídos con promesas de recompensas exclusivas en tokens NIGHT y ATMA, creando una urgencia artificial para hacer clic en enlaces incrustados.

Los correos de phishing dirigen a los usuarios desprevenidos a un dominio recién registrado: download.eternldesktop.network. El investigador de amenazas Anurag identificó que los atacantes replicaron casi a la perfección el anuncio original de Eternl Desktop, añadiendo funciones fabricadas como gestión local de claves y compatibilidad con billeteras de hardware. Los correos carecen de errores ortográficos y imitan el tono profesional de comunicaciones genuinas, una estrategia deliberada para sortear el escepticismo inicial de los usuarios.

La entrega del malware: un troyano dentro de un instalador falso

Una vez que los usuarios descargan lo que creen que es la billetera Eternl legítima, ejecutan sin saberlo un archivo instalador MSI con carga útil maliciosa llamado Eternl.msi (hash del archivo: 8fa4844e40669c1cb417d7cf923bf3e0). Este instalador contiene una herramienta LogMeIn Resolve empaquetada, un utilitario de acceso remoto legítimo que ha sido reutilizado con fines maliciosos.

Al ejecutarse, el instalador despliega un archivo ejecutable llamado unattended_updater.exe (originalmente llamado GoToResolveUnattendedUpdater.exe). Este componente construye una jerarquía de carpetas dentro de Program Files y escribe múltiples archivos de configuración, incluyendo unattended.json y pc.json. De manera crítica, el archivo unattended.json habilita la funcionalidad de acceso remoto sin requerir consentimiento o conocimiento del usuario.

El análisis del tráfico de red revela que el malware se conecta a infraestructura conocida de GoTo Resolve, específicamente a devices-iot.console.gotoresolve.com y dumpster.console.gotoresolve.com. El ejecutable transmite datos del sistema en formato JSON y establece conexiones remotas persistentes, proporcionando efectivamente una puerta trasera al equipo de la víctima.

El acceso remoto significa compromiso total del sistema

Una vez que la herramienta LogMeIn Resolve se activa, los actores de amenazas obtienen capacidades de ejecución de comandos sin restricciones. Pueden ejecutar comandos arbitrarios, acceder a archivos sensibles, manipular el software de la billetera o extraer claves privadas y frases semilla. El malware opera en silencio, sin notificación al usuario, lo que hace que su detección sea extraordinariamente difícil para usuarios promedio.

El ataque de phishing evita mecanismos estándar de verificación del sistema operativo y carece de validación de firma digital, permitiendo que el instalador malicioso se ejecute sin activar advertencias de seguridad. Esta sofisticación técnica lo distingue de intentos de phishing burdos y señala la participación de actores de amenazas organizados.

Aprendiendo de ataques pasados: el precedente de Meta

Esta campaña de phishing en Cardano recuerda una estafa documentada de Meta que victimó a miles de anunciantes. En ese ataque anterior, los usuarios recibían correos que afirmaban que sus cuentas publicitarias violaban regulaciones de la UE y que serían suspendidas inminentemente. Los mensajes incluían branding de Instagram y un lenguaje que sonaba oficial para establecer autoridad.

Al hacer clic en el enlace de phishing, las víctimas eran dirigidas a una interfaz falsa del Meta Business Manager. La página falsa advertía sobre la terminación de la cuenta a menos que los usuarios actualizaran sus credenciales de inmediato. Un chat de soporte engañoso guiaba a los usuarios a través de un “proceso de recuperación” mientras recopilaba su información de inicio de sesión. Los paralelismos son evidentes: ambas campañas usan pretextos regulatorios, branding oficial, tácticas de urgencia y recopilación de credenciales.

Cómo protegerse de amenazas de phishing y malware

Los investigadores de seguridad enfatizan varias medidas de protección:

• Descargar solo desde fuentes oficiales: Obtén siempre el software de la billetera directamente del sitio web oficial del proyecto o repositorios verificados de GitHub, nunca mediante enlaces de correo electrónico.
• Verificar la autenticidad del dominio: Revisa cuidadosamente las URLs; los estafadores suelen registrar dominios que difieren en una sola letra de los legítimos.
• Examinar las credenciales del remitente: Los proyectos legítimos nunca solicitan descargas de billeteras mediante correos no solicitados.
• Habilitar protecciones del sistema: Mantén actualizado el software antivirus, activa Windows Defender y configura reglas en el firewall.
• Verificar firmas digitales: El software legítimo incluye certificados digitales válidos; los archivos sin firmas deben ser considerados sospechosos de inmediato.
• Usar billeteras de hardware: Para fondos sustanciales, considera billeteras de hardware como Ledger o Trezor que no puedan ser comprometidas por malware de escritorio.
• Reportar correos sospechosos: Reenvía los intentos de phishing a los proyectos de billeteras y a tu proveedor de correo electrónico.

La sofisticación de esta operación de phishing—que combina experiencia técnica en malware con psicología de ingeniería social—subraya por qué la vigilancia sigue siendo fundamental. Incluso comunicaciones pulidas e interfaces que parecen legítimas pueden ocultar amenazas devastadoras. A medida que la adopción de Cardano crece, también aumenta su atractivo para los ciberdelincuentes, haciendo que la conciencia comunitaria sobre las tácticas de phishing y los mecanismos de entrega de malware sea esencial para la seguridad del ecosistema.