Utilizadores do Cardano, atenção: A atualização do ataque de phishing à carteira Eternl, malware que pode controlar remotamente dispositivos e chaves privadas

Uma campanha de phishing cuidadosamente planeada está a espalhar-se na ecossistema Cardano. Os atacantes falsificam emails profissionais, alegando oferecer recompensas em tokens NIGHT e ATMA, induzindo os utilizadores a descarregar uma versão fraudulenta da carteira Eternl Desktop. Uma vez instalada, o software malicioso inicia uma ferramenta de gestão remota em segundo plano, permitindo aos atacantes controlar a longo prazo o dispositivo da vítima, incluindo o acesso às chaves privadas da carteira. Isto foi avaliado por especialistas em segurança como uma ameaça de alto risco.

Métodos de ataque: uma armadilha de engenharia social aparentemente profissional

Email falsificado com um design “perfeito”

Os emails de phishing apresentam um elevado grau de profissionalismo. O tom é formal, a gramática rigorosa, quase sem erros ortográficos ou de formatação, o que aumenta significativamente a sua capacidade de engano. Os emails afirmam que os utilizadores podem obter recompensas em tokens NIGHT e ATMA através do programa “Diffusion Staking Basket”, aproveitando a narrativa real de rendimentos de staking na ecossistema Cardano para aumentar a credibilidade. Esta combinação de um projeto legítimo com uma técnica de engenharia social torna-se mais difícil de identificar do que spam comum.

Discrição do malware

A análise dos investigadores de segurança, Anurag, revela que o pacote de instalação Eternl.msi, distribuído pelo domínio falso download.eternldesktop.network, tem cerca de 23.3 MB e inclui uma ferramenta de gestão remota oculta, LogMeIn Resolve. Após a instalação, o malware lança um ficheiro executável chamado unattended-updater.exe e cria uma estrutura de ficheiros completa na pasta Program Files, incluindo múltiplos ficheiros de configuração. O ficheiro unattended.json ativa o acesso remoto sem necessidade de confirmação do utilizador.

Isto significa que, sem o conhecimento do utilizador, foi aberto uma porta traseira no dispositivo para os atacantes.

Capacidade de controlo remoto contínuo

O malware conecta-se à infraestrutura do GoTo Resolve, usando credenciais API codificadas, enviando continuamente informações de eventos do sistema em formato JSON para um servidor remoto. Uma vez invadido, o atacante pode manter o controlo do dispositivo a longo prazo, incluindo execução de comandos remotos, roubo de credenciais e acesso às chaves privadas da carteira. Não se trata de um roubo de dados pontual, mas de uma criação de um canal de controlo persistente.

Porque é que este ataque é particularmente perigoso

Como os utilizadores podem prevenir

Aja imediatamente

• Se já descarregou o Eternl Desktop, verifique imediatamente a origem do download e o domínio
• Se descarregou de download.eternldesktop.network, desinstale imediatamente e escaneie o sistema
• Se o dispositivo armazenou ADA ou outros ativos criptográficos, considere transferi-los para um dispositivo seguro

Verifique canais oficiais

• Todas as aplicações de carteira devem ser descarregadas apenas do site oficial ou lojas de aplicações oficiais
• O domínio correto do Eternl oficial é eternl.io; qualquer outro deve levantar suspeitas
• Verifique a validade da assinatura digital, que é um padrão técnico para verificar a autenticidade do software

Identifique sinais de phishing

• Qualquer “atualização de carteira” proveniente de canais não oficiais deve ser considerada uma ameaça potencial
• Ficheiros executáveis em anexos de email (.exe, .msi, etc.) requerem extremo cuidado
• Novos domínios, links encurtados ou links enviados por contas não oficiais nas redes sociais são sinais de alto risco

Problemas mais profundos refletidos

Este incidente expõe novamente os desafios reais do ecossistema de carteiras criptográficas: os utilizadores confiam bastante nas aplicações de carteira, mas têm uma capacidade limitada de verificar a autenticidade. Os atacantes aproveitam-se desta assimetria de informação, usando engenharia social cuidadosamente planeada para ultrapassar as defesas.

O Eternl, como uma carteira bem conhecida na ecossistema Cardano, torna-se uma ferramenta de ataque devido à sua elevada notoriedade. Isto demonstra que, mesmo projetos maduros, não podem evitar completamente serem alvo de falsificações.

Resumo

O perigo desta campanha de phishing reside na combinação de três fatores: um design de engenharia social altamente profissional, uma instalação dissimulada de malware e a capacidade de controlo persistente do dispositivo do utilizador. Para os utilizadores de Cardano, a prioridade máxima é verificar imediatamente a origem da carteira e garantir que não instalaram versões fraudulentas. A longo prazo, este incidente também alerta toda a ecossistema de criptomoedas para a necessidade de mecanismos mais eficazes de verificação de autenticidade de software, que vão além da simples vigilância do utilizador. Antes de descarregar qualquer aplicação de carteira, dedique 30 segundos a verificar o canal oficial — pode salvar milhões em ativos.