Người dùng Cardano cảnh báo: Các cuộc tấn công lừa đảo Eternl Wallet đã nâng cấp, phần mềm độc hại có thể điều khiển từ xa thiết bị và khóa riêng tư

2026-01-04 02:46:41

Một cuộc tấn công lừa đảo được thiết kế tinh vi đang lan rộng trong hệ sinh thái Cardano. Kẻ tấn công giả mạo email chuyên nghiệp, tuyên bố cung cấp phần thưởng token NIGHT và ATMA, nhằm dụ người dùng tải xuống phiên bản giả mạo của ví Eternl Desktop. Khi cài đặt, phần mềm độc hại sẽ khởi động công cụ quản lý từ xa trong nền, cho phép kẻ tấn công kiểm soát lâu dài thiết bị của nạn nhân, bao gồm truy cập vào khoá riêng của ví. Điều này đã được các nhà nghiên cứu an ninh đánh giá là mối đe dọa mức độ cao.

Phương thức tấn công: Cạm bẫy xã hội giả mạo chuyên nghiệp

Thiết kế email giả mạo “hoàn hảo”

Email tấn công có tính chuyên nghiệp cao. Giọng điệu trang trọng, ngữ pháp chính xác, hầu như không có lỗi chính tả hoặc định dạng, điều này làm tăng khả năng gây nhầm lẫn. Email tuyên bố người dùng có thể nhận phần thưởng NIGHT và ATMA thông qua chương trình “Diffusion Staking Basket”, tận dụng câu chuyện về lợi nhuận staking trong hệ sinh thái Cardano để tăng độ tin cậy. Sự kết hợp giữa nền tảng dự án thực và chiến thuật xã hội này khiến nó khó bị phát hiện hơn so với thư rác thông thường.

Bố cục ẩn của phần mềm độc hại

Phân tích của nhà nghiên cứu an ninh Anurag cho thấy, gói cài đặt Eternl.msi phân phối qua tên miền giả mạo download.eternldesktop.network có kích thước khoảng 23.3 MB, kèm theo công cụ quản lý từ xa ẩn LogMeIn Resolve. Sau khi cài đặt, phần mềm độc hại sẽ giải phóng tệp thực thi tên là unattended-updater.exe và tạo cấu trúc thư mục đầy đủ trong thư mục Program Files của hệ thống, ghi nhiều tệp cấu hình. Trong đó, unattended.json sẽ kích hoạt quyền truy cập từ xa không cần xác nhận của người dùng.

Điều này có nghĩa là người dùng vô tình mở cửa hậu cho kẻ tấn công.

Khả năng kiểm soát từ xa liên tục

Phần mềm độc hại sẽ kết nối tới hạ tầng của GoTo Resolve, sử dụng thông tin xác thực API mã hóa cứng, gửi liên tục các thông tin sự kiện hệ thống về máy chủ từ xa theo định dạng JSON. Một khi xâm nhập thành công, kẻ tấn công có thể duy trì quyền kiểm soát thiết bị lâu dài, bao gồm thực thi lệnh từ xa, trộm cắp thông tin xác thực và truy cập khoá riêng của ví. Đây không chỉ là một vụ trộm dữ liệu tạm thời mà còn xây dựng một kênh kiểm soát bền vững.

Tại sao cuộc tấn công này đặc biệt nguy hiểm

Mức độ đe dọa	Biểu hiện cụ thể	Mức độ rủi ro
Khoá riêng ví	Kẻ tấn công có thể truy cập trực tiếp khoá riêng lưu trữ cục bộ	Chết người
Kiểm soát thiết bị	Quyền quản lý từ xa toàn diện, có thể thực thi bất kỳ lệnh nào

ADA-2,39%

NIGHT-4,89%

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.