Utilizadores da Cardano Sob Ataque: Como o Phishing e o Malware Ameaçam a Sua Carteira

Uma campanha de ataque sofisticada está a direcionar utilizadores da criptomoeda Cardano através de uma distribuição coordenada de phishing e malware. Os cibercriminosos estão a impersonar a equipa legítima do carteira Eternl Desktop, aproveitando emails enganosos para atrair vítimas a descarregar um instalador malicioso que concede acesso remoto completo ao sistema. Esta ameaça de múltiplas camadas combina engenharia social com técnicas avançadas de comprometimento de endpoints.

Campanha Enganosa Impersona a Carteira Eternl Através de Comunicações Fraudulentas

Os atacantes lançaram uma ofensiva coordenada de phishing, fingindo ser membros da equipa Eternl através de emails profissionalmente elaborados. Estas mensagens falsas promovem uma versão inexistente da carteira de desktop, alegando oferecer recompensas exclusivas em criptomoedas, especificamente tokens NIGHT e ATMA. As comunicações fraudulentas destacam funcionalidades falsas, como gestão de chaves local e compatibilidade com carteiras de hardware—detalhes copiados de anúncios legítimos da Eternl.

Os emails apresentam um acabamento profissional, com texto gramaticalmente correto e sem erros ortográficos evidentes, criando uma aparência de autenticidade que aumenta a probabilidade de envolvimento do utilizador. Os destinatários são direcionados a clicar num link que leva a um domínio recentemente registado: download(dot)eternldesktop(dot)network. Segundo o investigador de ameaças Anurag, os atacantes investiram considerável esforço em imitar os estilos de comunicação oficiais e o posicionamento do produto para contornar o ceticismo dos utilizadores.

A estratégia principal de engano centra-se na urgência e no incentivo. Ao prometer recompensas em tokens e enquadrar a “nova versão da carteira” como uma oportunidade exclusiva, os atacantes exploram a curiosidade natural dos membros da comunidade Cardano. Uma vez que os utilizadores clicam, encontram prompts para descarregar um ficheiro MSI de instalação—o ponto de entrada para o compromisso real.

O Mecanismo de Distribuição de Malware: Cavalo de Troia de Acesso Remoto Escondido no Instalador

O instalador malicioso, denominado Eternl.msi (hash do ficheiro: 8fa4844e40669c1cb417d7cf923bf3e0), contém uma utilidade LogMeIn Resolve embutida. Após execução, o instalador descarrega um ficheiro executável intitulado “unattended updater.exe”—uma versão ofuscada de GoToResolveUnattendedUpdater.exe. Este executável é o payload de malware responsável pelo comprometimento do sistema.

Após a instalação, o cavalo de Troia cria uma estrutura de pastas específica dentro de Program Files e escreve múltiplos ficheiros de configuração, incluindo unattended.json e pc.json. A configuração unattended.json ativa capacidades de acesso remoto sem qualquer conhecimento ou consentimento do utilizador. Isto permite aos atacantes estabelecer uma ligação persistente ao sistema da vítima, concedendo controlo total sobre ficheiros, processos e comunicações de rede.

A análise do tráfego de rede revela que o sistema comprometido tenta estabelecer ligações às infraestruturas de comando e controlo conhecidas do GoTo Resolve, especificamente devices-iot.console.gotoresolve.com e dumpster.console.gotoresolve.com. O malware transmite dados de enumeração do sistema em formato JSON, criando efetivamente uma porta dos fundos que permite aos atores de ameaça executar comandos arbitrários e exfiltrar dados sensíveis.

Reconhecer os Sinais de Alerta Antes da Instalação

Os utilizadores podem identificar e evitar este ataque ao examinar vários indicadores de aviso. Os downloads legítimos de carteiras devem ocorrer apenas a partir de sites oficiais do projeto ou repositórios confiáveis—domínios recentemente registados são sinais de alerta imediatos. Os canais de distribuição genuínos da Eternl não incluem campanhas de email não solicitadas oferecendo recompensas em tokens.

Antes de instalar, os utilizadores devem verificar assinaturas de ficheiros e valores de hash contra anúncios oficiais. A presença de executáveis não assinados ou hashes criptográficos incompatíveis indica adulteração. Além disso, software legítimo de carteiras não deve requerer privilégios elevados nem criar diretórios e ficheiros de configuração ocultos durante a instalação.

As melhores práticas de segurança para utilizadores de Cardano incluem: verificar os endereços de email do remetente em listas de contactos oficiais, inspecionar URLs em busca de erros ortográficos subtis ou domínios suspeitos, evitar descarregar ficheiros através de links de email e manter software antivírus atualizado capaz de detectar cavalos de Troia de acesso remoto, como payloads baseados em LogMeIn.

Aprender com Golpes Similares: O Precedente Meta

Este padrão de ataque espelha de perto uma campanha de phishing anterior que visou utilizadores do Meta Business. Nesse incidente, as vítimas receberam emails alegando que as suas contas de publicidade tinham sido suspensas devido a violações das regulações da UE. As mensagens usaram branding autêntico do Meta e linguagem oficial para estabelecer credibilidade. Os utilizadores que clicaram foram direcionados para páginas falsas de login do Meta Business, onde foram solicitados a inserir credenciais. Um chat de suporte falso guiou as vítimas através de um “processo de recuperação” que recolheu os seus detalhes de autenticação.

As semelhanças estruturais entre a campanha Meta e este ataque ao Cardano demonstram uma evolução no manual de ataque: impersonar uma marca confiável, criar urgência artificial, recolher credenciais ou entregar malware, e explorar a confiança do utilizador em comunicações oficiais. A consciência destas táticas reforça a postura defensiva em toda a comunidade de criptomoedas e ativos digitais mais amplos.

Os investigadores de segurança instam todos os participantes do ecossistema Cardano a manterem-se vigilantes, verificarem as fontes de forma independente e reportarem comunicações suspeitas às equipas de segurança oficiais.