Comunidade Cardano Sob Ataque: Última Campanha de Phishing Visa Usuários de Carteira

Os utilizadores de Cardano enfrentam uma crise de segurança crescente, à medida que cibercriminosos lançam uma operação de phishing sofisticada, a impersonar a equipa do wallet Eternl Desktop. A campanha utiliza emails fraudulentos que promovem recompensas falsas em criptomoedas para distribuir malware capaz de conceder aos atacantes controlo total do sistema. Isto representa uma ameaça crítica para quem detém ou faz staking de ativos Cardano, combinando táticas de engenharia social com mecanismos avançados de entrega de malware.

Como se desenrola o ataque de phishing

O ataque começa com emails enganosos que se fazem passar por comunicações oficiais da equipa de desenvolvimento do Eternl. Estas mensagens fraudulentas empregam linguagem profissional, formatação polida e funcionalidades de governança legítimas para criar credibilidade. Os destinatários são atraídos com promessas de recompensas exclusivas em tokens NIGHT e ATMA, criando uma urgência artificial para clicar nos links embutidos.

Os emails de phishing direcionam os utilizadores incautos para um domínio recentemente registado: download[dot]eternldesktop[dot]network. O investigador de ameaças Anurag identificou que os atacantes replicaram quase perfeitamente o anúncio original do Eternl Desktop, adicionando funcionalidades fabricadas, como gestão local de chaves e compatibilidade com carteiras de hardware. Os emails não contêm erros ortográficos e imitam o tom profissional de comunicações legítimas — uma estratégia deliberada para contornar o ceticismo inicial dos utilizadores.

A entrega do malware: um Cavalo de Troia dentro de um instalador falso

Após os utilizadores descarregarem o que acreditam ser a carteira Eternl legítima, executam inadvertidamente um ficheiro de instalação MSI com armas chamado Eternl.msi (hash do ficheiro: 8fa4844e40669c1cb417d7cf923bf3e0). Este instalador contém uma ferramenta LogMeIn Resolve integrada, uma utilidade legítima de acesso remoto, reutilizada para fins maliciosos.

Ao ser executado, o instalador lança um ficheiro executável chamado unattended_updater.exe (originalmente nomeado GoToResolveUnattendedUpdater.exe). Este componente constrói uma hierarquia de pastas dentro de Program Files e escreve múltiplos ficheiros de configuração, incluindo unattended.json e pc.json. Criticamente, o ficheiro unattended.json habilita funcionalidades de acesso remoto sem necessidade de consentimento ou conhecimento do utilizador.

A análise do tráfego de rede revela que o malware conecta-se à infraestrutura conhecida do GoTo Resolve, especificamente aos dispositivos-iot.console.gotoresolve.com e dumpster.console.gotoresolve.com. O executável transmite dados do sistema em formato JSON e estabelece ligações remotas persistentes, efetivamente fornecendo aos atacantes uma porta dos fundos no computador da vítima.

Acesso remoto: uma ameaça de comprometimento total do sistema

Uma vez ativada a ferramenta LogMeIn Resolve, os atores maliciosos obtêm capacidades ilimitadas de execução de comandos. Podem executar comandos arbitrários, aceder a ficheiros sensíveis, manipular o software da carteira ou extrair chaves privadas e frases de recuperação. O malware funciona silenciosamente, sem notificação ao utilizador, tornando a deteção extremamente difícil para utilizadores comuns.

O ataque de phishing contorna os mecanismos de verificação padrão do sistema operativo e não valida assinaturas digitais — permitindo que o instalador malicioso seja executado sem alertas de segurança. Esta sofisticação técnica distingue-o de tentativas de phishing rudimentares e indica envolvimento de atores de ameaça organizados.

Aprender com ataques passados: o precedente Meta

Esta campanha de phishing em Cardano ecoa uma fraude empresarial documentada da Meta que vitimou milhares de anunciantes. Nessa tentativa anterior, os utilizadores recebiam emails a alegar que as suas contas de anúncios violavam regulamentos da UE e enfrentavam suspensão iminente. As mensagens incluíam branding do Instagram e linguagem oficial para estabelecer autoridade.

Ao clicar no link de phishing, as vítimas eram direcionadas para uma interface falsa do Meta Business Manager. A página falsa alertava para a suspensão da conta, a menos que os utilizadores atualizassem imediatamente as suas credenciais. Um chat de suporte enganoso guiava então os utilizadores através de um “processo de recuperação”, enquanto recolhia as suas informações de login. As semelhanças são notórias: ambas as campanhas usam pretextos regulatórios, branding oficial, táticas de urgência e recolha de credenciais.

Como proteger-se de ameaças de phishing e malware

Os investigadores de segurança destacam várias medidas de proteção:

• Descarregar apenas de fontes oficiais: Obtenha sempre o software da carteira diretamente do site oficial do projeto ou repositórios verificados no GitHub, nunca através de links de email
• Verificar a autenticidade do domínio: Verifique cuidadosamente os URLs — os fraudadores frequentemente registam domínios que diferem de legítimos por uma única letra
• Examinar as credenciais do remetente: Projetos legítimos nunca solicitam downloads de carteiras por emails não solicitados
• Ativar proteções do sistema: Mantenha o software antivírus atualizado, ative o Windows Defender e configure regras de firewall
• Verificar assinaturas digitais: Software legítimo inclui certificados digitais válidos; ficheiros sem assinaturas devem ser considerados imediatamente suspeitos
• Utilizar carteiras de hardware: Para holdings substanciais, considere carteiras de hardware como Ledger ou Trezor, que não podem ser comprometidas por malware de desktop
• Reportar emails suspeitos: Encaminhe tentativas de phishing às equipas de projetos de carteiras e ao seu provedor de email

A sofisticação desta operação de phishing — combinando expertise técnica em malware com psicologia de engenharia social — reforça a importância da vigilância contínua. Mesmo comunicações polidas e interfaces com aparência legítima podem esconder ameaças devastadoras. À medida que a adoção de Cardano aumenta, também aumenta a sua atratividade para cibercriminosos, tornando a consciencialização da comunidade sobre táticas de phishing e mecanismos de entrega de malware essencial para a segurança do ecossistema.