Los usuarios de Cardano afectados por una estafa de phishing con la billetera Eternl falsa

• Los atacantes distribuyen un instalador malicioso de Eternl.msi con malware GoTo Resolve, que permite el acceso remoto y el robo de credenciales.

• Los correos electrónicos de phishing imitan anuncios oficiales de Eternl, explotando referencias a staking y gobernanza para parecer legítimos.

• Los usuarios deben descargar las carteras solo desde canales verificados de Eternl para prevenir accesos no autorizados persistentes y infecciones por malware.

Una campaña de phishing sofisticada está dirigiéndose a usuarios de Cardano (ADA) mediante correos fraudulentos que promocionan una cartera Eternl Desktop falsa. La campaña hace referencia a términos legítimos del ecosistema como NIGHT y recompensas en tokens ATMA. Los expertos en seguridad advierten a los usuarios que descarguen el software de la cartera solo desde canales verificados para evitar malware y accesos no autorizados.

Instalador de malware disfrazado de software de cartera

El cazador de amenazas Anurag identificó el instalador malicioso distribuido a través del dominio no verificado download.eternldesktop.network. El archivo Eternl.msi de 23.3 megabytes lleva una herramienta oculta de gestión remota LogMeIn GoTo Resolve.

Durante la instalación, deja un ejecutable llamado unattended-updater.exe, que crea archivos de configuración en Program Files para habilitar el acceso remoto sin interacción del usuario. El malware se conecta a la infraestructura de GoTo Resolve, transmitiendo datos de eventos del sistema en formato JSON usando credenciales API codificadas.

Los investigadores en seguridad clasificaron la actividad como crítica, señalando que las herramientas de gestión remota permiten persistencia a largo plazo, comandos remotos y robo de credenciales una vez instalado.

La campaña utiliza técnicas profesionales de phishing

Los correos de phishing mantienen un lenguaje profesional sin errores ortográficos, imitando estrechamente los anuncios oficiales de Eternl Desktop. Los mensajes promocionan funciones como compatibilidad con carteras de hardware, gestión local de claves y controles avanzados de delegación.

Los atacantes explotan narrativas de gobernanza y referencias específicas del ecosistema, creando una falsa legitimidad en torno a las recompensas del Diffusion Staking Basket. Los expertos advierten que la campaña apunta a usuarios que buscan participar en actividades de staking o gobernanza.

El instalador fraudulento carece de firmas digitales o verificación, impidiendo que los usuarios confirmen la autenticidad antes de la instalación. Los analistas destacan que los dominios recién registrados y los enlaces de descarga no oficiales son señales de advertencia clave.

Riesgo de acceso no autorizado persistente

El análisis de Anurag reveló la intención de abuso en la cadena de suministro, permitiendo a los atacantes establecer acceso persistente a los sistemas de las víctimas. Una vez instalado, el malware compromete la seguridad de la cartera y el acceso a claves privadas. Los investigadores en seguridad aconsejan descargar las aplicaciones de la cartera exclusivamente desde canales oficiales de Eternl.

Se insta a los usuarios a mantener la cautela y evitar instalar software de fuentes no verificadas. La campaña pone de manifiesto las amenazas continuas en el ecosistema de criptomonedas, demostrando cómo los atacantes explotan actualizaciones que parecen confiables para tomar control de los dispositivos de los usuarios.