Alerte aux utilisateurs de Cardano : la campagne de phishing Eternl s'intensifie, les logiciels malveillants pouvant prendre le contrôle à distance de l'appareil et des clés privées

Une attaque de phishing soigneusement conçue se propage dans l’écosystème Cardano. Les attaquants falsifient des courriels professionnels, prétendant offrir des récompenses en jetons NIGHT et ATMA, incitant les utilisateurs à télécharger une version frauduleuse du portefeuille Eternl Desktop. Une fois installé, le logiciel malveillant lance en arrière-plan un outil de gestion à distance, permettant aux attaquants de contrôler à long terme l’appareil de la victime, y compris l’accès aux clés privées du portefeuille. Cela a été évalué par des chercheurs en sécurité comme une menace de niveau élevé.

Méthode d’attaque : un piège d’ingénierie sociale apparemment professionnel

La conception “parfaite” du courriel falsifié

Les courriels d’attaque sont d’un haut niveau de professionnalisme. Le ton est formel, la grammaire rigoureuse, et ils comportent presque aucune erreur d’orthographe ou de mise en forme, ce qui augmente considérablement leur crédibilité. Le message affirme que l’utilisateur peut obtenir des récompenses en jetons NIGHT et ATMA via le programme “Diffusion Staking Basket”, en exploitant la narration réelle des gains de staking dans l’écosystème Cardano pour renforcer la crédibilité. Cette combinaison d’un contexte de projet réel avec une attaque d’ingénierie sociale est plus difficile à détecter qu’un simple spam.

La dissimulation de la mise en place du logiciel malveillant

Les analyses des chercheurs en sécurité, notamment Anurag, montrent que le fichier d’installation Eternl.msi distribué via le faux domaine download.eternldesktop.network fait environ 23,3 Mo, et contient un outil de gestion à distance caché, LogMeIn Resolve. Après installation, le logiciel malveillant déploie un exécutable nommé unattended-updater.exe, et crée une structure complète de fichiers dans le répertoire Program Files, y compris plusieurs fichiers de configuration. Parmi eux, unattended.json active directement un accès à distance sans confirmation de l’utilisateur.

Cela signifie que l’utilisateur, à son insu, a déjà ouvert une porte dérobée sur son appareil pour l’attaquant.

La capacité de contrôle à distance continue

Le logiciel malveillant se connecte à l’infrastructure GoTo Resolve, utilisant des identifiants API codés en dur, pour transmettre en continu des informations sur le système au serveur distant au format JSON. Une fois infiltré, l’attaquant peut maintenir un contrôle à long terme sur l’appareil, incluant l’exécution de commandes à distance, le vol de crédentiels, et l’accès aux clés privées du portefeuille. Il ne s’agit pas d’un vol de données ponctuel, mais d’un établissement d’un canal de contrôle persistant.

Pourquoi cette attaque est particulièrement dangereuse

Comment les utilisateurs peuvent se protéger

Agissez immédiatement

• Si vous avez téléchargé Eternl Desktop, vérifiez immédiatement la source et le domaine
• Si vous avez téléchargé depuis download.eternldesktop.network, désinstallez immédiatement et scannez votre système
• Si cet appareil stocke des ADA ou d’autres actifs cryptographiques, envisagez de transférer ces actifs vers un appareil sécurisé

Vérifiez les canaux officiels

• Toutes les applications de portefeuille doivent être téléchargées depuis le site officiel ou les boutiques officielles
• Le domaine officiel d’Eternl est eternl.io, tout autre domaine doit susciter la vigilance
• Vérifiez la validité de la signature numérique, c’est une norme technique pour authentifier le logiciel

Repérez les signaux de phishing

• Toute “mise à jour de portefeuille” provenant d’un canal non officiel doit être considérée comme une menace potentielle
• Les fichiers exécutables dans les pièces jointes (ex. .exe, .msi) doivent être traités avec précaution
• Les nouveaux domaines, liens raccourcis, ou liens provenant de comptes sociaux non officiels sont des signaux à haut risque

La problématique plus profonde qu’elle révèle

Cet incident met une fois de plus en lumière les défis réels de l’écosystème des portefeuilles cryptographiques : la confiance élevée des utilisateurs dans les applications de portefeuille, mais une capacité limitée à vérifier leur authenticité. Les attaquants exploitent cette asymétrie d’information, utilisant des techniques d’ingénierie sociale soigneusement élaborées pour contourner les défenses.

Eternl, en tant que portefeuille reconnu dans l’écosystème Cardano, voit sa notoriété devenir un outil pour les attaquants. Cela montre que même les projets matures ne peuvent pas totalement empêcher la contrefaçon.

Résumé

Le danger de cette attaque de phishing réside dans la combinaison de trois aspects : une ingénierie sociale sophistiquée, une implantation dissimulée de logiciels malveillants, et une capacité de contrôle persistant sur l’appareil de l’utilisateur. Pour les utilisateurs de Cardano, la priorité immédiate est de vérifier l’origine de leur portefeuille et de s’assurer qu’ils n’ont pas installé de version frauduleuse. À long terme, cela souligne aussi la nécessité pour tout l’écosystème crypto de mettre en place des mécanismes plus efficaces de vérification de l’authenticité des logiciels, plutôt que de compter uniquement sur la vigilance des utilisateurs. Avant de télécharger une application de portefeuille, prenez 30 secondes supplémentaires pour vérifier le canal officiel — cela pourrait vous sauver des millions d’actifs.