Usuarios de Cardano afectados por fraude de phishing que distribuye malware en billeteras

Los titulares de Cardano enfrentan una amenaza de seguridad en aumento a medida que los ciberdelincuentes lanzan una campaña sofisticada de fraude por phishing que impersona la billetera Eternl Desktop. El esquema combina correos electrónicos de aspecto profesional, incentivos fraudulentos en criptomonedas y malware oculto para comprometer los sistemas de los usuarios. Los investigadores de seguridad han descubierto que las víctimas que descargan la billetera falsa reciben un instalador malicioso que contiene troyanos de acceso remoto, otorgando a los atacantes control total del sistema sin autorización.

Cómo Opera la Campaña de Fraude por Phishing

El ataque comienza con correos electrónicos de phishing convincentes que suplantan las comunicaciones oficiales de Eternl Desktop. Los atacantes afirman introducir nuevas funciones como soporte mejorado para staking de Cardano e integración de gobernanza. Los mensajes fraudulentos ofrecen incentivos atractivos, incluyendo recompensas en tokens NIGHT y ATMA, creando urgencia y motivando a los usuarios a descargar la “actualización” de la billetera de inmediato.

Los correos dirigen a los usuarios a descargar(dot)eternldesktop(dot)network, un dominio recién registrado que imita el sitio web legítimo de Eternl. Según el investigador de amenazas Anurag, los atacantes copiaron meticulosamente el lenguaje y los elementos de diseño de anuncios auténticos de Eternl, añadiendo funciones ficticias como gestión de claves local y compatibilidad con billeteras de hardware. La campaña de phishing demuestra una ejecución profesional—los correos no contienen errores ortográficos y utilizan terminología formal, haciendo que la estafa parezca creíble para usuarios desprevenidos.

Cada mensaje incluye un enlace de descarga a un archivo MSI con troyano. El archivo evita los mecanismos estándar de verificación de seguridad y carece de firmas digitales válidas que indiquen legitimidad. Cuando los usuarios ejecutan el instalador, activan sin saberlo la carga útil maliciosa incrustada.

El Instalador Malicioso Entrega un Troyano de Acceso Remoto

El instalador weaponizado, llamado Eternl.msi (hash del archivo: 8fa4844e40669c1cb417d7cf923bf3e0), incluye una peligrosa herramienta LogMeIn Resolve. Al ejecutarse, el instalador despliega un archivo ejecutable llamado unattended updater.exe, que en realidad es el componente GoToResolveUnattendedUpdater.exe.

Este ejecutable establece persistencia en la máquina de la víctima creando directorios dentro de Program Files y escribiendo múltiples archivos de configuración, incluyendo unattended.json y pc.json. El archivo unattended.json es particularmente peligroso—activa silenciosamente capacidades de acceso remoto sin que el usuario tenga conocimiento o dé su consentimiento. Una vez activado, el sistema infectado se vuelve completamente controlable por los atacantes.

El análisis del tráfico de red confirma que el malware se comunica con infraestructura conocida de comando y control de GoToResolve, específicamente con devices-iot.console.gotoresolve.com y dumpster.console.gotoresolve.com. El malware transmite información del sistema en formato JSON y establece conexiones persistentes, permitiendo a los actores de amenazas emitir comandos de forma remota. Las víctimas no tienen indicios de que su sistema haya sido comprometido hasta que los atacantes explotan el acceso.

Comparación con Esquemas Previos de Fraude por Phishing en Meta

Este ataque a la billetera de Cardano sigue un esquema similar al utilizado en campañas anteriores de phishing dirigidas a usuarios empresariales de Meta. En esa campaña, las víctimas recibían correos que afirmaban que sus cuentas publicitarias habían violado regulaciones de la UE. Los mensajes empleaban la marca Meta y un lenguaje oficial para establecer una falsa credibilidad.

Al hacer clic en el enlace, los usuarios eran redirigidos a una página falsa de Meta Business Manager que mostraba advertencias urgentes sobre la suspensión de la cuenta. Se solicitaba a los usuarios ingresar sus credenciales para “restaurar” el acceso. Luego, un chat de soporte falso guiaba a las víctimas a través de lo que parecía ser una recuperación de cuenta, pero en realidad recopilaba su información de autenticación.

La estructura paralela—urgencia, suplantación, páginas de aterrizaje falsas y recopilación de credenciales—revela cómo los atacantes reutilizan tácticas efectivas de ingeniería social en diferentes audiencias. Ya sea dirigido a usuarios de criptomonedas o a gestores de negocios, la metodología de fraude por phishing permanece constante: establecer una legitimidad falsa, crear presión y explotar la confianza del usuario.

Cómo Protegerse contra Ataques de Impersonación de Billeteras

Los expertos en seguridad y los desarrolladores de billeteras instan a los usuarios a adoptar prácticas defensivas contra el fraude por phishing. Siempre descargue el software de billetera exclusivamente desde los sitios web oficiales del proyecto o tiendas de aplicaciones verificadas. Los dominios recién registrados representan un riesgo extremo—verifique la antigüedad del dominio y los detalles del certificado SSL antes de confiar en un sitio web.

Sea escéptico ante correos electrónicos no solicitados que promocionen actualizaciones de billeteras u ofrezcan recompensas inesperadas en tokens. Los proyectos legítimos de billeteras rara vez distribuyen software mediante campañas de phishing, y las actualizaciones auténticas aparecen a través de canales establecidos. Examine cuidadosamente las direcciones del remitente del correo, ya que las direcciones suplantadas a veces contienen sustituciones sutiles de caracteres.

Habilite la autenticación de dos factores en las cuentas de intercambio de criptomonedas y en las cuentas de correo electrónico importantes vinculadas a las billeteras. Esta capa adicional previene accesos no autorizados incluso si las credenciales son comprometidas. Mantenga actualizado su software antivirus y antimalware para detectar troyanos conocidos como las variantes de LogMeIn Resolve.

Por último, si ha descargado alguna aplicación de billetera sospechosa, desconecte inmediatamente los ordenadores afectados de las redes y realice análisis completos de malware. Reporte los correos electrónicos sospechosos de fraude por phishing al equipo de seguridad del proyecto legítimo. Manteniendo la vigilancia contra técnicas de fraude por phishing y verificando la legitimidad en cada paso, los usuarios de Cardano pueden reducir significativamente su exposición a estas amenazas en evolución.