Usuarios de Cardano bajo ataque: cómo el phishing y el malware amenazan tu cartera

Una campaña de ataque sofisticada está dirigiéndose a usuarios de la criptomoneda Cardano a través de una distribución coordinada de phishing y malware. Los ciberdelincuentes se están haciendo pasar por el equipo legítimo de la cartera Eternl Desktop, utilizando correos electrónicos engañosos para atraer a las víctimas a descargar un instalador malicioso que otorga acceso remoto completo al sistema. Esta amenaza de múltiples capas combina ingeniería social con técnicas avanzadas de compromiso de endpoints.

Campaña engañosa se hace pasar por la cartera Eternl mediante comunicaciones fraudulentas

Los atacantes han lanzado una ofensiva coordinada de phishing haciéndose pasar por miembros del equipo de Eternl mediante correos electrónicos elaborados profesionalmente. Estos mensajes falsos promocionan una versión inexistente de la cartera de escritorio y afirman ofrecer recompensas exclusivas en criptomonedas, específicamente tokens NIGHT y ATMA. Las comunicaciones fraudulentas destacan funciones falsas como gestión local de claves y compatibilidad con carteras de hardware—detalles copiados de anuncios legítimos de Eternl.

Los correos muestran un acabado profesional con texto gramaticalmente correcto y sin errores ortográficos evidentes, creando una apariencia de autenticidad que aumenta la probabilidad de que el usuario interactúe. Los destinatarios son dirigidos a hacer clic en un enlace que lleva a un dominio registrado recientemente: download(dot)eternldesktop(dot)network. Según el investigador de amenazas Anurag, los atacantes invirtieron un esfuerzo considerable en imitar los estilos de comunicación oficiales y el posicionamiento del producto para evitar la sospecha del usuario.

La estrategia principal de engaño gira en torno a la urgencia y el incentivo. Al prometer recompensas en tokens y presentar la “nueva versión de la cartera” como una oportunidad exclusiva, los atacantes explotan la curiosidad natural de los miembros de la comunidad de Cardano. Una vez que los usuarios hacen clic, se encuentran con indicaciones para descargar un archivo MSI de instalación—el punto de entrada para la verdadera infección.

Mecanismo de entrega del malware: troyano de acceso remoto oculto en el instalador

El instalador malicioso, llamado Eternl.msi (hash del archivo: 8fa4844e40669c1cb417d7cf923bf3e0), contiene una utilidad LogMeIn Resolve empaquetada. Al ejecutarse, el instalador deja un archivo ejecutable etiquetado como “unattended updater.exe”—una versión ofuscada de GoToResolveUnattendedUpdater.exe. Este ejecutable es la carga útil real del malware responsable del compromiso del sistema.

Una vez instalado, el troyano crea una estructura de carpetas específica dentro de Program Files y escribe múltiples archivos de configuración, incluyendo unattended.json y pc.json. La configuración unattended.json activa capacidades de acceso remoto sin que el usuario tenga conocimiento o dé su consentimiento. Esto permite a los atacantes establecer una conexión persistente con el sistema de la víctima, otorgándoles control total sobre archivos, procesos y comunicaciones de red.

El análisis del tráfico de red revela que el sistema comprometido intenta establecer conexiones con infraestructura de comando y control conocida de GoTo Resolve, específicamente con devices-iot.console.gotoresolve.com y dumpster.console.gotoresolve.com. El malware transmite datos de enumeración del sistema en formato JSON, creando efectivamente una puerta trasera que permite a los actores de amenazas ejecutar comandos arbitrarios y exfiltrar datos sensibles.

Cómo reconocer las señales de advertencia antes de la instalación

Los usuarios pueden identificar y evitar este ataque examinando varios indicadores de advertencia. Las descargas legítimas de carteras solo deben realizarse desde los sitios oficiales del proyecto o repositorios confiables—los dominios recién registrados son una bandera roja inmediata. Los canales de distribución genuinos de Eternl no incluyen campañas de correo no solicitadas que ofrezcan recompensas en tokens.

Antes de la instalación, los usuarios deben verificar las firmas de los archivos y los valores hash con los anuncios oficiales. La presencia de archivos ejecutables sin firmar o hashes criptográficos que no coinciden indica manipulación. Además, el software legítimo de la cartera no debería requerir privilegios elevados ni crear directorios y archivos de configuración ocultos durante la instalación.

Las mejores prácticas de seguridad para los usuarios de Cardano incluyen: verificar las direcciones de correo del remitente con listas de contactos oficiales, inspeccionar las URLs en busca de errores ortográficos sutiles o registros de dominios sospechosos, evitar descargas desde enlaces en correos electrónicos y mantener actualizado el software antivirus capaz de detectar troyanos de acceso remoto como payloads basados en LogMeIn.

Lecciones de estafas similares: el precedente de Meta

Este patrón de ataque se asemeja mucho a una campaña de phishing anterior dirigida a usuarios de Meta Business. En ese incidente, las víctimas recibieron correos afirmando que sus cuentas publicitarias habían sido suspendidas por violaciones a regulaciones de la UE. Los mensajes usaron la marca auténtica de Meta y un lenguaje oficial para establecer credibilidad. Los usuarios que hicieron clic fueron dirigidos a páginas de inicio de sesión falsas de Meta Business, donde se les solicitó ingresar sus credenciales. Un chat de soporte falso guió a las víctimas a través de un “proceso de recuperación” que recopilaba sus datos de autenticación.

Las similitudes estructurales entre la campaña de Meta y este ataque a Cardano demuestran una evolución en el manual de los atacantes: hacerse pasar por una marca confiable, crear urgencia artificial, recopilar credenciales o entregar malware, y explotar la confianza del usuario en las comunicaciones oficiales. La conciencia de estas tácticas fortalece la postura defensiva en toda la comunidad de criptomonedas y activos digitales en general.

Los investigadores de seguridad instan a todos los participantes del ecosistema de Cardano a mantener la vigilancia, verificar las fuentes de manera independiente y reportar comunicaciones sospechosas a los equipos de seguridad oficiales.