Пользователи блокчейн-платформы Cardano стали целью новой фишинговой кампании, в рамках которой злоумышленники рассылают профессионально оформленные письма, маскирующиеся под официальное объявление о выпуске десктоп-кошелька Eternl Desktop. Сообщения, не содержащие орфографических ошибок и написанные убедительным языком, предлагают загрузить обновлённую версию кошелька, якобы поддерживающую стейкинг Cardano и участие в управлении сетью.
Для привлечения внимания в письмах упоминаются вознаграждения токенами NIGHT и ATMA в рамках «программы раздачи криптовалюты». Ссылка в письме ведёт на недавно зарегистрированный домен download.eternldesktop.network, где размещён вредоносный установочный файл Eternl.msi объёмом 23,3 МБ. Файл не имеет цифровой подписи и обходит стандартные проверки безопасности.
Согласно техническому анализу исследователя угроз Анурага, внутри установщика скрыт инструмент удалённого доступа LogMeIn Resolve. После запуска файл создаёт в системе папку в Program Files и записывает конфигурационные файлы, включая unattended.json, который активирует фоновый удалённый доступ без ведома пользователя. Вредоносная программа устанавливает соединение с серверами GoTo Resolve (devices-iot.console.gotoresolve.com и dumpster.console.gotoresolve.com), передаёт данные системы в формате JSON и открывает канал для выполнения команд злоумышленниками.
Эксперты по безопасности отмечают, что эта кампания напоминает прошлогоднюю атаку на рекламодателей Meta, где также использовались поддельные уведомления о нарушении политик и брендинг Instagram. Специалисты настоятельно рекомендуют пользователям загружать кошельки только с официальных сайтов, проверять домены и избегать установки ПО из непроверенных источников, независимо от убедительности рассылки.
