Les utilisateurs de Cardano victimes d'une fausse escroquerie de phishing avec le portefeuille Eternl

• Les attaquants distribuent un installateur malveillant Eternl.msi avec un malware GoTo Resolve, permettant un accès à distance et le vol de crédentiels.

• Les emails de phishing imitent les annonces officielles d’Eternl, en exploitant des références au staking et à la gouvernance pour paraître légitimes.

• Les utilisateurs doivent télécharger les portefeuilles uniquement depuis des canaux Eternl vérifiés pour éviter un accès non autorisé persistant et une infection par malware.

Une campagne de phishing sophistiquée cible les utilisateurs Cardano (ADA) via des emails frauduleux promouvant un faux portefeuille Eternl Desktop. La campagne fait référence à des termes légitimes de l’écosystème comme NIGHT et les récompenses en jetons ATMA. Les experts en sécurité avertissent les utilisateurs de ne télécharger le logiciel de portefeuille qu’à partir de canaux vérifiés pour éviter les malwares et l’accès non autorisé.

Installateur de malware déguisé en logiciel de portefeuille

Le chasseur de menaces Anurag a identifié l’installateur malveillant distribué via le domaine non vérifié download.eternldesktop.network. Le fichier Eternl.msi de 23,3 mégaoctets contient un outil de gestion à distance LogMeIn GoTo Resolve caché.

Lors de l’installation, il dépose un exécutable nommé unattended-updater.exe, qui crée des fichiers de configuration dans Program Files pour permettre un accès à distance sans interaction de l’utilisateur. Le malware se connecte à l’infrastructure GoTo Resolve, transmettant des données d’événements système au format JSON en utilisant des identifiants API codés en dur.

Les chercheurs en sécurité ont classé cette activité comme critique, notant que les outils de gestion à distance permettent une persistance à long terme, des commandes à distance et le vol de crédentiels une fois installés.

Une campagne utilisant des techniques de phishing professionnelles

Les emails de phishing maintiennent un langage professionnel sans fautes d’orthographe, imitant de près les annonces officielles d’Eternl Desktop. Les messages promeuvent des fonctionnalités telles que la compatibilité avec les portefeuilles matériels, la gestion locale des clés et des contrôles avancés de délégation.

Les attaquants exploitent les récits de gouvernance et des références spécifiques à l’écosystème, créant une fausse légitimité autour des récompenses du Diffusion Staking Basket. Les experts avertissent que la campagne cible les utilisateurs souhaitant participer au staking ou à la gouvernance.

L’installateur frauduleux ne possède pas de signatures numériques ni de vérification, empêchant les utilisateurs de confirmer l’authenticité avant l’installation. Les analystes soulignent que les domaines nouvellement enregistrés et les liens de téléchargement non officiels sont des signes d’alerte clés.

Risque d’accès non autorisé persistant

L’analyse d’Anurag a révélé l’intention d’abuser de la chaîne d’approvisionnement, permettant aux attaquants d’établir un accès persistant aux systèmes victimes. Une fois installé, le malware compromet la sécurité du portefeuille et l’accès aux clés privées. Les chercheurs en sécurité conseillent de télécharger les applications de portefeuille uniquement depuis les canaux officiels d’Eternl.

Les utilisateurs sont invités à rester prudents et à éviter d’installer des logiciels provenant de sources non vérifiées. La campagne met en évidence les menaces persistantes dans l’écosystème des cryptomonnaies, montrant comment les attaquants exploitent des mises à jour apparemment fiables pour prendre le contrôle des appareils des utilisateurs.