Alerta de segurança da carteira Cardano: Exposta ataque de phishing no Eternl Desktop, a chave privada enfrenta risco de controlo remoto

Recentemente, uma campanha de phishing direcionada aos utilizadores de Cardano tem vindo a espalhar-se, com vários investigadores de segurança a descobrir que os atacantes, através de emails cuidadosamente falsificados, induzem os utilizadores a descarregar uma aplicação de carteira fraudulenta chamada Eternl Desktop, com o objetivo de obter controlo sobre os dispositivos e comprometer a segurança dos ativos criptográficos. Este incidente é considerado uma das ameaças de segurança de carteiras mais graves na atual ecossistema Cardano.

O conteúdo do email de ataque é altamente profissional, com tom formal, gramática rigorosa e quase sem erros de ortografia ou formatação. O email afirma que os utilizadores podem obter recompensas em tokens NIGHT e ATMA através do plano Diffusion Staking Basket, aumentando assim a sua credibilidade, e direciona os utilizadores para clicar num link de download. Na realidade, esse link aponta para um domínio registado recentemente, download.eternldesktop.network, e não para canais oficiais.

Os investigadores de segurança Anurag descobriram que o pacote de instalação Eternl.msi distribuído por esse domínio tem aproximadamente 23,3 MB e inclui uma ferramenta de gestão remota oculta, LogMeIn Resolve. Após a instalação, o programa malicioso lança um ficheiro executável chamado unattended-updater.exe e cria uma estrutura de ficheiros completa na pasta Program Files do sistema, ao mesmo tempo que escreve vários ficheiros de configuração, incluindo unattended.json, logger.json, mandatory.json e pc.json. Entre eles, o unattended.json ativa o acesso remoto sem necessidade de confirmação do utilizador.

Análises adicionais de rede revelaram que o programa malicioso conecta-se à infraestrutura do GoTo Resolve e, através de credenciais API codificadas, envia continuamente informações de eventos do sistema para um servidor remoto em formato JSON. Isto significa que, uma vez invadido com sucesso, o atacante pode manter controlo prolongado sobre o dispositivo da vítima, incluindo execução de comandos remotos, roubo de credenciais e potencial acesso às chaves privadas da carteira, com um nível de risco avaliado como elevado.

É importante estar atento ao facto de que a versão fraudulenta do Eternl Desktop quase que replica completamente a versão oficial em termos de interface e funcionalidades, incluindo compatibilidade com carteiras de hardware, gestão de chaves locais e delegação de staking avançada, tornando-se altamente enganadora. Os atacantes claramente aproveitam narrativas relacionadas com a governança do Cardano, rendimentos de staking e incentivos ecológicos para realizar ataques de engenharia social.

Especialistas em segurança alertam que todos os utilizadores de Cardano devem verificar a origem do software antes de descarregar aplicações de carteira ou participar em atividades de staking, confirmando a validade da assinatura digital através de canais oficiais. Qualquer “atualização de carteira” proveniente de domínios recém-registados, anexos de email ou links não oficiais deve ser considerada uma ameaça potencial. Este incidente reforça os desafios reais que os ataques de phishing a carteiras criptográficas e o abuso da cadeia de fornecimento representam para a segurança do ecossistema Cardano.