Utilisateurs de Cardano sous attaque : comment le phishing et les logiciels malveillants menacent votre portefeuille

Une campagne d’attaque sophistiquée cible les utilisateurs de la cryptomonnaie Cardano via une distribution coordonnée de phishing et de malware. Les cybercriminels se font passer pour l’équipe légitime du portefeuille Eternl Desktop, en utilisant des emails frauduleux pour inciter les victimes à télécharger un installeur malveillant qui donne un accès complet au système à distance. Cette menace à plusieurs niveaux combine ingénierie sociale et techniques avancées de compromission des points d’extrémité.

Campagne de Détournement Se faisant Passer pour le Portefeuille Eternl par des Communications Frauduleuses

Les attaquants ont lancé une offensive de phishing coordonnée en se faisant passer pour des membres de l’équipe Eternl via des emails soigneusement élaborés. Ces messages frauduleux promeuvent une version inexistante du portefeuille de bureau tout en affirmant offrir des récompenses cryptographiques exclusives, notamment des tokens NIGHT et ATMA. Les communications frauduleuses mettent en avant de fausses fonctionnalités telles que la gestion locale des clés et la compatibilité avec les portefeuilles matériels — des détails copiés à partir des annonces officielles d’Eternl.

Les emails présentent un aspect professionnel avec un texte grammaticalement correct et sans fautes d’orthographe évidentes, créant une impression d’authenticité qui augmente la probabilité d’engagement de l’utilisateur. Les destinataires sont invités à cliquer sur un lien menant à un domaine nouvellement enregistré : download(dot)eternldesktop(dot)network. Selon le chercheur en menace Anurag, les attaquants ont investi beaucoup d’efforts pour imiter le style de communication officiel et le positionnement du produit afin de contourner le scepticisme des utilisateurs.

La stratégie principale de tromperie repose sur l’urgence et l’incitation. En promettant des récompenses en tokens et en présentant la « nouvelle version du portefeuille » comme une opportunité exclusive, les attaquants exploitent la curiosité naturelle des membres de la communauté Cardano. Une fois que les utilisateurs cliquent, ils rencontrent des invites pour télécharger un fichier MSI d’installation — le point d’entrée pour la compromission réelle.

Mécanisme de Livraison du Malware : Trojan d’Accès à Distance Caché dans l’Installeur

L’installeur malveillant, nommé Eternl.msi (empreinte du fichier : 8fa4844e40669c1cb417d7cf923bf3e0), contient un utilitaire LogMeIn Resolve intégré. Lors de l’exécution, l’installeur dépose un fichier exécutable nommé “unattended updater.exe” — une version obfusquée de GoToResolveUnattendedUpdater.exe. Cet exécutable constitue la charge utile du malware responsable de la compromission du système.

Une fois installé, le Trojan crée une structure de dossiers spécifique dans Program Files et écrit plusieurs fichiers de configuration, notamment unattended.json et pc.json. La configuration unattended.json active les capacités d’accès à distance sans que l’utilisateur en soit conscient ou donne son consentement. Cela permet aux attaquants d’établir une connexion persistante au système de la victime, leur donnant un contrôle total sur les fichiers, processus et communications réseau.

L’analyse du trafic réseau révèle que le système compromis tente d’établir des connexions avec l’infrastructure de commandement et de contrôle connue de GoTo Resolve, notamment devices-iot.console.gotoresolve.com et dumpster.console.gotoresolve.com. Le malware transmet des données d’énumération du système au format JSON, créant ainsi une porte dérobée permettant aux acteurs malveillants d’exécuter des commandes arbitraires et d’exfiltrer des données sensibles.

Reconnaître les Signaux d’Alerte Avant l’Installation

Les utilisateurs peuvent identifier et éviter cette attaque en examinant plusieurs indicateurs d’alerte. Les téléchargements légitimes de portefeuille ne doivent provenir que des sites officiels du projet ou de dépôts de confiance — les domaines nouvellement enregistrés sont des signaux d’alarme immédiats. Les canaux de distribution officiels d’Eternl n’incluent pas de campagnes par email non sollicitées proposant des récompenses en tokens.

Avant l’installation, il est conseillé de vérifier les signatures de fichiers et les valeurs de hash avec les annonces officielles. La présence de fichiers exécutables non signés ou de hash cryptographiques non correspondants indique une altération. De plus, un logiciel de portefeuille légitime ne doit pas nécessiter de privilèges élevés ni créer des dossiers ou fichiers de configuration cachés lors de l’installation.

Les meilleures pratiques de sécurité pour les utilisateurs de Cardano incluent : vérifier les adresses email des expéditeurs par rapport aux contacts officiels, inspecter les URLs pour détecter des fautes d’orthographe subtiles ou des enregistrements de domaines suspects, éviter de télécharger via des liens email, et maintenir un logiciel antivirus à jour capable de détecter des trojans d’accès à distance comme ceux basés sur LogMeIn.

Apprendre des Escroqueries Similaires : Le Précédent Meta

Ce modèle d’attaque ressemble étroitement à une campagne de phishing précédente ciblant les utilisateurs de Meta Business. Dans cet incident, les victimes ont reçu des emails affirmant que leurs comptes publicitaires avaient été suspendus en raison de violations de la réglementation UE. Les messages utilisaient une marque Meta authentique et un langage officiel pour établir leur crédibilité. Les utilisateurs qui cliquaient étaient dirigés vers de faux pages de connexion Meta Business, où ils étaient invités à entrer leurs identifiants. Un chat de support factice guidait ensuite les victimes à travers un « processus de récupération » qui récoltait leurs données d’authentification.

Les similitudes structurelles entre la campagne Meta et cette attaque contre Cardano illustrent une évolution du manuel d’attaque : se faire passer pour une marque de confiance, créer une urgence artificielle, récolter des identifiants ou déployer des malwares, et exploiter la confiance des utilisateurs dans les communications officielles. La sensibilisation à ces tactiques renforce la posture défensive de la communauté des cryptomonnaies et des actifs numériques en général.

Les chercheurs en sécurité exhortent tous les participants de l’écosystème Cardano à rester vigilants, à vérifier les sources de manière indépendante, et à signaler toute communication suspecte aux équipes de sécurité officielles.