Usuarios de la cartera de Cardano, atención: ataques de phishing cuidadosamente disfrazados emergen

Fuente: Cryptonews Título original: ¿Las carteras de Cardano están bajo amenaza? surge una campaña de phishing sospechosa Enlace original: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/

El instalador malicioso contiene un troyano de acceso remoto

Los usuarios de Cardano están siendo objetivo de una campaña de phishing, donde los atacantes promocionan mediante correos falsos la descarga de la aplicación fraudulenta Eternl Desktop.

El ataque aprovecha mensajes de correo cuidadosamente diseñados, que hacen referencia a recompensas en tokens NIGHT y ATMA y al plan Diffusion Staking Basket para generar confianza. Los cazadores de amenazas Anurag descubrieron un instalador malicioso distribuido a través de dominios recién registrados.

El archivo Eternl.msi de 23.3MB contiene una herramienta de administración remota oculta, que establece acceso no autorizado al sistema de la víctima sin su conocimiento.

El instalador MSI malicioso lleva y ejecuta un archivo llamado unattended-updater.exe. Al ejecutarse, este archivo crea una estructura de carpetas en el directorio Program Files del sistema.

El instalador escribe varios archivos de configuración, incluyendo unattended.json, logger.json, mandatory.json y pc.json. La configuración en unattended.json habilita la función de acceso remoto sin necesidad de interacción del usuario.

El análisis de red muestra que el malware se conecta a infraestructura de gestión remota. El archivo ejecutable utiliza credenciales API codificadas en el código para transmitir información de eventos del sistema en formato JSON a un servidor remoto.

Los investigadores de seguridad clasifican este comportamiento como una amenaza crítica. La herramienta de gestión remota permite a los atacantes mantener persistencia a largo plazo, ejecutar comandos de forma remota y robar credenciales.

Actividades dirigidas a los usuarios de Cardano

Los correos de phishing mantienen un tono sofisticado y profesional, con gramática correcta y sin errores ortográficos. Los anuncios fraudulentos crean una copia casi idéntica a la publicación oficial de Eternl Desktop, incluyendo mensajes sobre compatibilidad con carteras hardware, gestión de claves locales y control avanzado de delegación.

Los atacantes utilizan narrativas de gobernanza de criptomonedas y referencias específicas del ecosistema para distribuir herramientas de acceso encubierto. La mención de recompensas en tokens NIGHT y ATMA añade una apariencia de legitimidad falsa a la actividad maliciosa.

Los usuarios de Cardano que buscan participar en funciones de staking o gobernanza enfrentan un alto riesgo de ser víctimas de tácticas de ingeniería social que imitan el desarrollo de un ecosistema legítimo.

El instalador se distribuye a través de dominios recién registrados sin verificación oficial ni firma digital.

Recomendaciones de seguridad

Los usuarios deben verificar la autenticidad del software únicamente a través de canales oficiales antes de descargar aplicaciones de cartera.

El análisis del malware de Anurag revela intentos de abuso en la cadena de suministro, destinados a establecer acceso no autorizado persistente. La herramienta de gestión remota proporciona a los atacantes control remoto, poniendo en riesgo la seguridad de la cartera y el acceso a las claves privadas.

Se recomienda a los usuarios evitar descargar aplicaciones de cartera desde fuentes no verificadas o dominios recién registrados, independientemente de la calidad o apariencia profesional del correo electrónico.