Cardano 用戶遭攻擊：釣魚和惡意軟件如何威脅您的錢包

一個高級攻擊活動正針對 Cardano 加密貨幣用戶，透過協調的釣魚攻擊與惡意軟體散布。網路犯罪分子冒充合法的 Eternl Desktop 錢包團隊，利用欺騙性電子郵件誘使受害者下載含有惡意程式的安裝檔，進而取得完整的遠端系統存取權。這個多層次的威脅結合了社交工程與先進的端點入侵技術。

欺騙活動冒充 Eternl 錢包，透過偽造通信進行詐騙

攻擊者以專業設計的電子郵件假扮成 Eternl 團隊成員，展開協調的釣魚攻擊。這些假訊息推廣一個不存在的桌面錢包版本，並聲稱提供獨家加密貨幣獎勵，特別是 NIGHT 和 ATMA 代幣。詐騙通信中強調的虛假功能包括本地密鑰管理與硬體錢包相容性——這些細節皆仿自合法的 Eternl 公告內容。

這些電子郵件具有專業水準的排版與語法，沒有明顯的拼寫錯誤，營造出真實感，增加用戶點擊的可能性。收件人被引導點擊一個連結，導向一個新註冊的域名：download(dot)eternldesktop(dot)network。根據威脅研究員 Anurag 的說法，攻擊者在模仿官方通信風格與產品定位上投入了大量心力，以避開用戶的疑慮。

核心的詐騙策略圍繞著緊迫感與誘因。攻擊者以代幣獎勵的承諾與將「新錢包版本」包裝成獨家機會來激發 Cardano 社群成員的好奇心。一旦用戶點擊連結，就會看到提示下載 MSI 安裝檔——這是實際入侵的入口。

惡意軟體傳遞機制：隱藏在安裝檔中的遠端存取木馬

這個名為 Eternl.msi（檔案雜湊值：8fa4844e40669c1cb417d7cf923bf3e0）的惡意安裝檔，內含一個捆綁的 LogMeIn Resolve 工具。執行後，安裝程式會放置一個名為 “unattended updater.exe” 的可執行檔（實為 GoToResolveUnattendedUpdater.exe 的混淆版本）。這個可執行檔即為負責系統入侵的惡意載荷。

安裝完成後，木馬會在「Program Files」內建立特定的資料夾結構，並寫入多個配置檔案，包括 unattended.json 和 pc.json。unattended.json 配置啟用遠端存取功能，且未經用戶知情或同意。這使攻擊者能建立持久連線，完全控制受害者的檔案、進程與網路通信。

網路流量分析顯示，受感染的系統試圖連線至已知的 GoTo Resolve 指揮控制基礎設施，特別是 devices-iot.console.gotoresolve.com 和 dumpster.console.gotoresolve.com。惡意軟體會以 JSON 格式傳送系統列舉資料，實質上建立了一個後門，讓威脅行為者能執行任意指令並竊取敏感資料。

安裝前的警示信號

用戶可以透過觀察幾個警示指標來辨識並避免此攻擊。合法的錢包下載應僅來自官方專案網站或可信的軟體庫——新註冊的域名則是立即的危險信號。Eternl 的正式散佈渠道不會包含未經請求的電子郵件推廣代幣獎勵。

在安裝前，用戶應驗證檔案簽章與雜湊值是否與官方公告一致。未簽名的可執行檔或雜湊值不符，代表檔案可能遭篡改。此外，正規的錢包軟體不應要求提升權限，也不會在安裝過程中建立隱藏的系統資料夾與配置檔。

建議 Cardano 用戶遵循安全最佳實務：核對寄件人電子郵件地址是否與官方聯絡名單一致，檢查網址是否有細微拼寫錯誤或可疑的域名註冊，避免點擊電子郵件中的連結下載檔案，並保持防毒軟體更新，以偵測像 LogMeIn 這類遠端存取木馬。

從類似詐騙案例學習：Meta 先例

此攻擊模式與之前針對 Meta 商業用戶的釣魚活動非常相似。在那次事件中，受害者收到聲稱其廣告帳號因違反歐盟規範而被暫停的電子郵件。這些訊息使用了真實的 Meta 品牌與官方語言來建立可信度。點擊連結的用戶會被導向假冒的 Meta 商業登入頁面，輸入帳號密碼後，接著會被引導進入一個假支援聊天，進行「恢復流程」，竊取認證資料。

Meta 攻擊與此 Cardano 攻擊在結構上具有相似性，展現出攻擊者不斷演進的手法：冒充可信品牌、創造緊迫感、竊取憑證或傳送惡意軟體，並利用用戶對官方通信的信任。了解這些策略有助於加強加密貨幣及數位資產社群的防禦能力。

安全研究人員呼籲所有 Cardano 生態系統參與者保持警覺，獨立驗證資訊來源，並將可疑通信報告給官方安全團隊。