Communauté Cardano sous attaque : la dernière campagne de phishing vise les utilisateurs de portefeuilles

Les utilisateurs de Cardano font face à une crise de sécurité croissante alors que des cybercriminels lancent une opération de phishing sophistiquée en se faisant passer pour l’équipe du portefeuille Eternl Desktop. La campagne exploite des emails frauduleux promouvant de fausses récompenses crypto pour distribuer des logiciels malveillants capables de donner aux attaquants un contrôle total du système. Cela représente une menace critique pour toute personne détenant ou stakeant des actifs Cardano, l’attaque combinant des tactiques d’ingénierie sociale avec des mécanismes avancés de livraison de malware.

Comment l’attaque de phishing se déroule

L’attaque commence par des emails trompeurs se faisant passer pour des communications officielles de l’équipe de développement d’Eternl. Ces messages frauduleux utilisent un langage professionnel, une mise en forme soignée et des fonctionnalités de gouvernance légitimes pour instaurer la crédibilité. Les destinataires sont attirés par des promesses de récompenses exclusives en jetons NIGHT et ATMA, créant une urgence artificielle pour cliquer sur des liens intégrés.

Les emails de phishing dirigent les utilisateurs naïfs vers un domaine nouvellement enregistré : download[dot]eternldesktop[dot]network. Le chercheur en sécurité Anurag a identifié que les attaquants ont presque parfaitement reproduit l’annonce originale d’Eternl Desktop, en ajoutant des fonctionnalités fabriquées comme la gestion locale des clés et la compatibilité avec les portefeuilles matériels. Les emails ne comportent pas de fautes d’orthographe et imitent le ton professionnel des communications légitimes — une stratégie délibérée pour contourner le scepticisme initial des utilisateurs.

La livraison du malware : un Trojan dans un faux installateur

Une fois que les utilisateurs téléchargent ce qu’ils croient être le portefeuille Eternl légitime, ils exécutent involontairement un fichier d’installation MSI malveillant nommé Eternl.msi (empreinte du fichier : 8fa4844e40669c1cb417d7cf923bf3e0). Cet installateur contient un outil LogMeIn Resolve intégré, un utilitaire d’accès à distance légitime réutilisé à des fins malveillantes.

Lors de l’exécution, l’installateur déploie un exécutable appelé unattended_updater.exe (initialement nommé GoToResolveUnattendedUpdater.exe). Ce composant construit une hiérarchie de dossiers dans Program Files et écrit plusieurs fichiers de configuration, notamment unattended.json et pc.json. De manière critique, le fichier de configuration unattended.json permet une fonctionnalité d’accès à distance sans nécessiter le consentement ou la connaissance de l’utilisateur.

Une analyse du trafic réseau révèle que le malware se connecte à des infrastructures connues de GoTo Resolve, notamment devices-iot.console.gotoresolve.com et dumpster.console.gotoresolve.com. L’exécutable transmet des données système au format JSON et établit des connexions à distance persistantes, offrant ainsi aux attaquants une porte dérobée dans l’ordinateur de la victime.

Accès à distance : un compromis complet du système

Une fois que l’outil LogMeIn Resolve est activé, les acteurs malveillants obtiennent des capacités d’exécution de commandes illimitées. Ils peuvent exécuter des commandes arbitraires, accéder à des fichiers sensibles, manipuler le logiciel de portefeuille ou extraire des clés privées et phrases de récupération. Le malware fonctionne en silence, sans notification à l’utilisateur, rendant la détection extrêmement difficile pour l’utilisateur moyen.

L’attaque de phishing contourne les mécanismes de vérification standard du système d’exploitation et ne comporte pas de validation de signature numérique — permettant à l’installateur malveillant de s’exécuter sans déclencher d’avertissements de sécurité. Cette sophistication technique la distingue des tentatives de phishing grossières et indique une implication organisée de cybercriminels.

Apprendre des attaques passées : le précédent Meta

Cette campagne de phishing Cardano fait écho à une escroquerie commerciale documentée de Meta qui a victimisé des milliers de publicitaires. Lors de cette attaque antérieure, les utilisateurs recevaient des emails affirmant que leurs comptes publicitaires violaient les réglementations de l’UE et risquaient une suspension imminente. Les messages comportaient une marque Instagram et un langage officiel pour établir l’autorité.

En cliquant sur le lien de phishing, les victimes étaient dirigées vers une interface contrefaite du Meta Business Manager. La fausse page avertissait de la suppression du compte à moins que les utilisateurs ne mettent immédiatement à jour leurs identifiants. Un chat de support trompeur guidait ensuite les utilisateurs à travers un « processus de récupération » tout en récoltant leurs informations de connexion. Les parallèles sont frappants : les deux campagnes utilisent des prétextes réglementaires, une marque officielle, des tactiques d’urgence et la collecte de crédentiels.

Se protéger contre le phishing et les menaces de malware

Les chercheurs en sécurité soulignent plusieurs mesures de protection :

• Télécharger uniquement depuis des sources officielles : Obtenez toujours le logiciel de portefeuille directement depuis le site officiel du projet ou des dépôts GitHub vérifiés, jamais via des liens email
• Vérifier l’authenticité du domaine : Vérifiez attentivement les URL — les fraudeurs enregistrent souvent des domaines différant d’un seul caractère du domaine légitime
• Examiner les credentials de l’expéditeur : Les projets légitimes ne sollicitent jamais le téléchargement de portefeuille par email non sollicité
• Activer les protections système : Maintenez à jour votre antivirus, activez Windows Defender et configurez les règles du pare-feu
• Vérifier les signatures numériques : Les logiciels légitimes incluent des certificats numériques valides ; les fichiers sans signatures doivent être immédiatement considérés comme suspects
• Utiliser des portefeuilles matériels : Pour des avoirs importants, envisagez des portefeuilles matériels comme Ledger ou Trezor, qui ne peuvent pas être compromis par un malware de bureau
• Signaler les emails suspects : Transférez les tentatives de phishing aux projets de portefeuille et à votre fournisseur de messagerie

La sophistication de cette opération de phishing — combinant expertise technique en malware et psychologie d’ingénierie sociale — souligne l’importance de la vigilance. Même des communications soignées et des interfaces apparemment légitimes peuvent dissimuler des menaces dévastatrices. À mesure que l’adoption de Cardano s’étend, son attractivité pour les cybercriminels augmente, rendant la sensibilisation communautaire aux tactiques de phishing et aux mécanismes de livraison de malware essentielle pour la sécurité de l’écosystème.