Les utilisateurs de Cardano ciblés par une fraude de phishing distribuant un malware pour portefeuille

Les détenteurs de Cardano sont confrontés à une menace de sécurité croissante alors que des cybercriminels lancent une campagne sophistiquée de phishing en se faisant passer pour le portefeuille Eternl Desktop. Le schéma combine des e-mails à l’aspect professionnel, des incitations frauduleuses en cryptomonnaies et des logiciels malveillants cachés pour compromettre les systèmes des utilisateurs. Les chercheurs en sécurité ont découvert que les victimes téléchargeant le faux portefeuille reçoivent un installateur malveillant contenant des chevaux de Troie d’accès à distance, permettant aux attaquants de prendre le contrôle complet du système sans autorisation.

Comment fonctionne la campagne de phishing

L’attaque commence par des e-mails de phishing convaincants qui usurpent les communications officielles d’Eternl Desktop. Les attaquants prétendent présenter de nouvelles fonctionnalités telles qu’un support amélioré du staking Cardano et une intégration de la gouvernance. Les messages frauduleux offrent des incitations attractives, notamment des récompenses en tokens NIGHT et ATMA, créant un sentiment d’urgence et encourageant les utilisateurs à télécharger immédiatement le portefeuille « mis à jour ».

Les e-mails dirigent les utilisateurs vers download(dot)eternldesktop(dot)network, un domaine récemment enregistré qui imite le site officiel d’Eternl. Selon le chercheur en menace Anurag, les attaquants ont minutieusement copié le langage et les éléments de design des annonces authentiques d’Eternl, en ajoutant des fonctionnalités fictives telles que la gestion locale des clés et la compatibilité avec les portefeuilles matériels. La campagne de phishing montre une exécution professionnelle — les e-mails ne contiennent aucune erreur d’orthographe et utilisent une terminologie formelle, ce qui rend l’arnaque crédible aux yeux des utilisateurs peu méfiants.

Chaque message inclut un lien de téléchargement vers un fichier d’installation MSI piégé. Le fichier contourne les mécanismes de vérification de sécurité standard et ne possède pas de signatures numériques valides indiquant sa légitimité. Lorsqu’un utilisateur exécute l’installation, il active à son insu la charge utile malveillante intégrée.

L’installateur malveillant livre un cheval de Troie d’accès à distance

L’installateur weaponisé, nommé Eternl.msi (empreinte du fichier : 8fa4844e40669c1cb417d7cf923bf3e0), regroupe un outil dangereux LogMeIn Resolve. Lors de l’exécution, l’installateur déploie un fichier exécutable nommé unattended updater.exe, qui est en réalité le composant GoToResolveUnattendedUpdater.exe.

Cet exécutable établit une persistance sur la machine de la victime en créant des répertoires dans Program Files et en écrivant plusieurs fichiers de configuration, notamment unattended.json et pc.json. Le fichier unattended.json est particulièrement dangereux — il active silencieusement les capacités d’accès à distance sans que l’utilisateur en soit conscient ou n’ait donné son consentement. Une fois activé, le système infecté devient entièrement contrôlable par les attaquants.

L’analyse du trafic réseau confirme que le malware communique avec l’infrastructure de commandement et de contrôle connue de GoToResolve, notamment devices-iot.console.gotoresolve.com et dumpster.console.gotoresolve.com. Le malware transmet des informations système au format JSON et établit des connexions persistantes, permettant aux acteurs malveillants d’émettre des commandes à distance. Les victimes n’ont aucune indication que leur système a été compromis jusqu’à ce que les attaquants exploitent cet accès.

Comparaison avec d’anciens schémas de phishing Meta

Cette attaque contre le portefeuille Cardano suit un schéma similaire à celui utilisé dans des campagnes de phishing précédentes ciblant les utilisateurs professionnels de Meta. Dans cette campagne, les victimes recevaient des e-mails affirmant que leurs comptes publicitaires avaient violé les réglementations de l’UE. Les messages utilisaient la marque Meta et un langage officiel pour établir une crédibilité fausse.

En cliquant sur le lien, les utilisateurs étaient redirigés vers une page factice du Meta Business Manager affichant des avertissements urgents concernant la suspension du compte. Ils étaient invités à saisir leurs identifiants pour « restaurer » l’accès. Un faux chat de support guidait ensuite les victimes à travers ce qui semblait être une récupération de compte, mais récoltait en réalité leurs informations d’authentification.

La structure parallèle — urgence, impersonation, pages de destination frauduleuses et collecte de crédentiels — montre comment les attaquants réutilisent des tactiques efficaces d’ingénierie sociale pour différents publics cibles. Qu’il s’agisse d’utilisateurs de cryptomonnaies ou de gestionnaires d’entreprises, la méthodologie de phishing reste cohérente : établir une légitimité fausse, créer une pression et exploiter la confiance des utilisateurs.

Comment se protéger contre les attaques d’usurpation de portefeuille

Les experts en sécurité et les développeurs de portefeuilles recommandent aux utilisateurs d’adopter des pratiques défensives contre le phishing. Téléchargez toujours le logiciel du portefeuille exclusivement depuis les sites officiels du projet ou des boutiques d’applications vérifiées. Les domaines récemment enregistrés présentent un risque extrême — vérifiez l’ancienneté du domaine et les détails du certificat SSL avant de faire confiance à un site.

Soyez sceptique face aux e-mails non sollicités promouvant des mises à jour de portefeuille ou offrant des récompenses inattendues en tokens. Les projets de portefeuille légitimes distribuent rarement des logiciels via des campagnes de phishing, et les mises à jour authentiques apparaissent par des canaux établis. Examinez attentivement les adresses des expéditeurs d’e-mails, car les adresses usurpées contiennent parfois des substitutions subtiles de caractères.

Activez l’authentification à deux facteurs sur les comptes d’échange de cryptomonnaies et les comptes e-mail importants liés aux portefeuilles. Cette couche supplémentaire empêche tout accès non autorisé même si les identifiants sont compromis. Maintenez à jour votre logiciel antivirus et anti-malware pour détecter des chevaux de Troie connus comme les variantes de LogMeIn Resolve.

Enfin, si vous avez téléchargé une application de portefeuille suspecte, déconnectez immédiatement les ordinateurs affectés du réseau et lancez une analyse complète de malware. Signalez les e-mails de phishing suspects à l’équipe de sécurité du projet légitime. En restant vigilant face aux techniques de phishing et en vérifiant la légitimité à chaque étape, les utilisateurs de Cardano peuvent réduire considérablement leur exposition à ces menaces en constante évolution.