تنبيه أمان محفظة كاردانو: الكشف عن هجوم تصيد على Eternl Desktop، ومفاتيح الخصوصية معرضة لخطر السيطرة عن بُعد

في الآونة الأخيرة، تتوسع هجمة تصيد احتيالية تستهدف مستخدمي Cardano، حيث اكتشف العديد من خبراء الأمن أن المهاجمين يستخدمون رسائل بريد إلكتروني مزيفة بعناية، لإقناع المستخدمين بتنزيل تطبيق محفظة احتيالي يُسمى Eternl Desktop، مما يؤدي إلى سرقة السيطرة على الأجهزة وتهديد أمان الأصول المشفرة. وقد تم تصنيف هذا الحدث كواحد من أخطر مخاطر أمان المحافظ في بيئة Cardano الحالية.

محتوى البريد الإلكتروني الاحتيالي محترف للغاية، وله نغمة رسمية وقواعد نحوية دقيقة، مع عدم وجود أخطاء إملائية أو تنسيقية تقريبًا. يدعي البريد أن المستخدم يمكنه الحصول على مكافآت NIGHT و ATMA من خلال خطة Diffusion Staking Basket، لتعزيز المصداقية، ويوجه المستخدمين للنقر على رابط التنزيل. في الواقع، يشير الرابط إلى نطاق جديد مسجل باسم download.eternldesktop.network، وليس من القنوات الرسمية.

اكتشف الباحث الأمني أنوراغ أن حزمة التثبيت Eternl.msi التي يتم توزيعها عبر هذا النطاق حجمها حوالي 23.3 ميجابايت، وتحتوي على أداة إدارة عن بعد مخفية تُسمى LogMeIn Resolve. بعد التثبيت، يقوم البرنامج الخبيث بإطلاق ملف تنفيذي يُسمى unattended-updater.exe، ويقوم بإنشاء هيكل ملفات كامل داخل مجلد Program Files، مع كتابة عدة ملفات إعداد مثل unattended.json و logger.json و mandatory.json و pc.json. من بين هذه الملفات، يقوم unattended.json بتمكين الوصول عن بعد بدون حاجة لتأكيد المستخدم.

تحليل الشبكة الإضافي أظهر أن البرنامج الخبيث يتصل بالبنية التحتية الخاصة بـ GoTo Resolve، ويستخدم بيانات اعتماد API مشفرة بشكل ثابت، ويرسل باستمرار معلومات أحداث النظام إلى خادم بعيد بصيغة JSON. هذا يعني أنه بمجرد نجاح المهاجم في الاختراق، يمكنه الحفاظ على السيطرة على جهاز الضحية لفترة طويلة، بما في ذلك تنفيذ أوامر عن بعد، سرقة بيانات الاعتماد، والوصول المحتمل إلى مفاتيح المحفظة الخاصة، مع تقييم مستوى الخطر بأنه عالي.

من الجدير بالذكر أن النسخة الاحتيالية من Eternl Desktop تتطابق تقريبًا في الواجهة والوظائف مع النسخة الرسمية، وتشمل توافق مع المحافظ الأجهزة، إدارة المفاتيح المحلية، والتوكيل المتقدم للرهان، مما يجعلها مخادعة جدًا. يستخدم المهاجمون بشكل واضح سرديات تتعلق بحوكمة Cardano، عوائد الرهان، وتحفيزات النظام البيئي، لتنفيذ هجمات هندسة اجتماعية.

يذكر خبراء الأمن أن جميع مستخدمي Cardano يجب عليهم التحقق من مصدر البرامج قبل تنزيل تطبيق المحفظة أو المشاركة في أنشطة الرهان، والتأكد من صحة التوقيع الرقمي. أي تحديثات محفظة تأتي من نطاقات مسجلة حديثًا، أو مرفقات البريد الإلكتروني، أو روابط غير رسمية، يجب اعتبارها تهديدات محتملة. وتبرز هذه الحادثة مرة أخرى التحديات الواقعية التي تفرضها هجمات تصيد المحافظ المشفرة واستخدام سلاسل التوريد بشكل غير مشروع على أمن بيئة Cardano.