مستخدمو كاردانو، احذروا: تصعيد هجمات التصيد على محفظة Eternl، والبرامج الضارة يمكنها التحكم عن بعد في الجهاز والمفتاح الخاص

حملة هجوم تصيد مخططة بعناية تنتشر في بيئة كاردانو. يقوم المهاجمون بتزييف رسائل بريد إلكتروني احترافية، تدعي تقديم مكافآت رموز NIGHT و ATMA، وتحث المستخدمين على تحميل نسخة احتيالية من محفظة Eternl Desktop. بمجرد التثبيت، يبدأ البرنامج الضار في تشغيل أداة إدارة عن بعد في الخلفية، مما يسمح للمهاجمين بالسيطرة على أجهزة الضحايا لفترات طويلة، بما في ذلك الوصول إلى مفاتيح المحفظة الخاصة. وقد تم تقييم هذا التهديد من قبل خبراء الأمن على أنه عالي الخطورة.

أساليب الهجوم: فخ الهندسة الاجتماعية الذي يبدو احترافيًا

تصميم البريد الإلكتروني المزيف بشكل “مثالي”

رسائل البريد الإلكتروني الاحتيالية تتميز بمستوى عالٍ من الاحترافية. نبرة الرسالة رسمية، والنحو دقيق، ولا تكاد تحتوي على أخطاء إملائية أو تنسيقية، مما يزيد من قدرتها على الخداع. تدعي الرسالة أن المستخدم يمكنه الحصول على مكافآت NIGHT و ATMA من خلال خطة “Diffusion Staking Basket”، مستغلة السرد الحقيقي لعوائد الرهان في بيئة كاردانو لتعزيز المصداقية. هذا الجمع بين خلفية مشروع حقيقية وهجوم هندسي اجتماعي يجعل من الصعب تمييزه عن الرسائل غير المرغوب فيها العادية.

التمويه في برمجيات الخبيثة

تحليل الباحث الأمني أنوراغ أظهر أن حزمة التثبيت Eternl.msi التي يتم توزيعها عبر النطاق المزيف download.eternldesktop.network حجمها حوالي 23.3 ميجابايت، وتحتوي على أداة إدارة عن بعد مخفية من نوع LogMeIn Resolve. بعد التثبيت، يطلق البرنامج الضار ملفًا تنفيذيًا باسم unattended-updater.exe، ويقوم بإنشاء هيكل ملفات كامل داخل مجلد Program Files، ويكتب العديد من ملفات التكوين. من بين هذه الملفات، ملف unattended.json الذي يفعّل الوصول عن بعد بدون حاجة لتأكيد المستخدم.

وهذا يعني أن المستخدم، دون علمه، قد فتح باب خلفي لجهازه للمهاجمين.

القدرة على السيطرة المستمرة عن بعد

يتصل البرنامج الضار ببنية GoTo Resolve، ويستخدم بيانات اعتماد API مشفرة بشكل ثابت، ويرسل باستمرار معلومات الأحداث النظامية إلى خادم بعيد بصيغة JSON. بمجرد نجاح الاختراق، يمكن للمهاجمين الحفاظ على السيطرة على الجهاز لفترات طويلة، بما في ذلك تنفيذ أوامر عن بعد، سرقة بيانات الاعتماد، والوصول إلى المفاتيح الخاصة للمحفظة. هذا ليس سرقة بيانات لمرة واحدة، بل إنشاء قناة تحكم دائمة.

لماذا هذا الهجوم خطير جدًا

كيف يجب على المستخدمين الحماية

اتخذ إجراءات فورية

• إذا قمت بتنزيل Eternl Desktop، تحقق فورًا من مصدر التحميل والنطاق
• إذا كان التحميل من download.eternldesktop.network، قم بإلغاء التثبيت وفحص النظام
• إذا كانت الأجهزة تحتوي على ADA أو أصول مشفرة أخرى، فكر في نقل الأصول إلى جهاز آمن

التحقق من القنوات الرسمية

• يجب أن يتم تحميل جميع تطبيقات المحافظ من الموقع الرسمي أو المتاجر الرسمية
• النطاق الصحيح لمحفظة Eternl هو eternl.io، وأي نطاق آخر يجب الحذر منه
• تحقق من صحة التوقيع الرقمي، وهو معيار تقني للتحقق من صحة البرنامج

التعرف على إشارات التصيد

• أي “تحديث محفظة” يأتي من قنوات غير رسمية يجب اعتباره تهديدًا محتملاً
• الملفات التنفيذية (.exe، .msi، وغيرها) في المرفقات البريدية تتطلب حذرًا خاصًا
• النطاقات الجديدة، الروابط المختصرة، والحسابات غير الرسمية على وسائل التواصل الاجتماعي التي تقدم روابط تحميل كلها إشارات عالية الخطورة

المشكلة الأعمق التي تعكسها هذه الحالة

تكشف هذه الحادثة مرة أخرى عن التحديات الواقعية في بيئة محافظ العملات المشفرة: ثقة المستخدمين في تطبيقات المحافظ عالية، لكن قدراتهم على التحقق من صحتها محدودة. يستغل المهاجمون هذا التفاوت في المعلومات، من خلال تصميم دقيق للهندسة الاجتماعية لاختراق الدفاعات.

محفظة Eternl، كواحدة من المحافظ المعروفة في بيئة كاردانو، أصبحت أداة استغلال بسبب شهرتها العالية. هذا يوضح أنه حتى المشاريع الناضجة لا يمكنها منع التزييف الكامل.

الخلاصة

تكمن خطورة هذا الهجوم في الجمع بين ثلاثة مستويات: تصميم هندسة اجتماعية احترافي، زرع برمجيات خبيثة بشكل مخفي، والقدرة على السيطرة الدائمة على أجهزة المستخدمين. للمستخدمين في كاردانو، المهمة الأكثر إلحاحًا الآن هي التحقق الفوري من مصدر المحفظة، والتأكد من عدم تثبيت نسخة احتيالية. على المدى الطويل، يذكرنا هذا أيضًا بضرورة بناء آليات أكثر فاعلية للتحقق من صحة البرامج، وعدم الاعتماد فقط على يقظة المستخدمين. قبل تحميل أي تطبيق محفظة، خصص 30 ثانية إضافية للتحقق من القناة الرسمية، فقد ينقذ ذلك أصولًا بقيمة ملايين الدولارات.