Cardano 用户遭遇攻击：钓鱼和恶意软件如何威胁您的钱包

一场复杂的攻击活动正通过协调的钓鱼和恶意软件传播，针对Cardano加密货币用户。网络犯罪分子冒充合法的Eternl桌面钱包团队，利用欺骗性电子邮件诱导受害者下载带有恶意程序的安装包，从而获得完全的远程系统访问权限。这一多层次威胁结合了社会工程学和先进的端点入侵技术。

欺骗性活动通过虚假通信冒充Eternl钱包

攻击者通过专业制作的电子邮件，假扮成Eternl团队成员，发起了协调的钓鱼攻击。这些虚假信息宣传一个不存在的桌面钱包版本，同时声称提供独家的加密货币奖励，特别是NIGHT和ATMA代币。虚假通信强调诸如本地密钥管理和硬件钱包兼容性等虚假功能——这些细节模仿了合法的Eternl公告内容。

这些电子邮件具有专业水准，语法正确，没有明显的拼写错误，营造出一种真实感，增加用户点击的可能性。收件人被引导点击一个链接，跳转到一个新注册的域名：download(dot)eternldesktop(dot)network。根据威胁研究员Anurag的分析，攻击者在模仿官方沟通风格和产品定位方面投入了大量努力，以绕过用户的怀疑。

核心的欺骗策略围绕紧迫感和激励展开。通过承诺代币奖励和将“新钱包版本”包装成独家机会，攻击者利用了Cardano社区成员的自然好奇心。一旦用户点击链接，就会遇到下载MSI安装文件的提示——这是实际入侵的入口。

恶意软件的传递机制：隐藏在安装程序中的远程访问木马

恶意安装程序名为Eternl.msi（文件哈希：8fa4844e40669c1cb417d7cf923bf3e0），其中包含了LogMeIn Resolve工具。执行后，安装程序会放置一个名为“unattended updater.exe”的可执行文件——这是GoToResolveUnattendedUpdater.exe的混淆版本。这个可执行文件即为实际的恶意载荷，负责系统入侵。

安装后，木马会在“Program Files”目录下创建特定的文件夹结构，并写入多个配置文件，包括unattended.json和pc.json。unattended.json配置激活了远程访问功能，且无需用户知情或授权。这使攻击者能够建立持久连接，完全控制受害者的文件、进程和网络通信。

网络流量分析显示，受感染的系统试图连接到已知的GoTo Resolve指挥控制基础设施，具体包括devices-iot.console.gotoresolve.com和dumpster.console.gotoresolve.com。恶意软件以JSON格式传输系统枚举数据，实际上为攻击者提供了后门，允许其执行任意命令并窃取敏感数据。

安装前识别风险信号

用户可以通过观察一些警示信号，识别并避免此类攻击。合法的钱包软件下载应仅来自官方项目网站或可信的仓库——新注册的域名是立即的危险信号。Eternl的正规发行渠道不包括未经请求的电子邮件推送提供代币奖励。

在安装前，用户应验证文件签名和哈希值是否与官方公告一致。未签名的可执行文件或哈希值不匹配表明文件被篡改。此外，合法的钱包软件不应要求提升权限，也不应在安装过程中创建隐藏的系统目录和配置文件。

针对Cardano用户的安全最佳实践包括：核实发件人电子邮件地址是否与官方联系方式一致，检查URL是否存在细微拼写错误或可疑的域名注册，避免点击电子邮件中的链接进行下载，并保持杀毒软件更新，以检测如LogMeIn等远程访问木马类载荷。

从类似骗局中汲取教训：Meta先例

此类攻击模式与之前针对Meta Business用户的钓鱼活动非常相似。在那次事件中，受害者收到声称其广告账户因违反欧盟法规而被暂停的电子邮件。信息使用了真实的Meta品牌和官方语言，以建立可信度。点击链接的用户被引导到伪造的Meta Business登录页面，输入凭据后，虚假客服聊天引导受害者完成“恢复流程”，从而窃取认证信息。

Meta活动与此次Cardano攻击在结构上具有相似性，展现了攻击者不断演进的策略：冒充可信品牌，制造紧迫感，窃取凭据或投放恶意软件，利用用户对官方通信的信任。了解这些手法有助于增强加密货币及更广泛数字资产社区的防御能力。

安全研究人员敦促所有Cardano生态系统参与者保持警惕，独立验证信息来源，并向官方安全团队报告可疑通信。