Utilizadores do Cardano visados por fraude de phishing que distribui malware de carteiras

Os detentores de Cardano enfrentam uma ameaça de segurança crescente, à medida que cibercriminosos lançam uma campanha sofisticada de fraude por phishing, fingindo ser a carteira Eternl Desktop. O esquema combina emails com aparência profissional, incentivos fraudulentos de criptomoedas e malware oculto para comprometer os sistemas dos utilizadores. Pesquisadores de segurança descobriram que as vítimas que descarregam a carteira falsa recebem um instalador malicioso contendo cavalos de Troia de acesso remoto, concedendo aos atacantes controlo total do sistema sem autorização.

Como Funciona a Campanha de Fraude por Phishing

O ataque começa com emails de phishing convincentes que imitam comunicações oficiais do Eternl Desktop. Os atacantes afirmam introduzir novas funcionalidades, como suporte melhorado para staking de Cardano e integração de governança. As mensagens fraudulentas oferecem incentivos atrativos, incluindo recompensas em tokens NIGHT e ATMA, criando um senso de urgência e incentivando os utilizadores a descarregar imediatamente a “atualização” da carteira.

Os emails direcionam os utilizadores para descarregar(dot)eternldesktop(dot)network, um domínio recentemente registado que imita o site legítimo do Eternl. Segundo o investigador de ameaças Anurag, os atacantes copiaram meticulosamente a linguagem e os elementos de design de anúncios autênticos do Eternl, adicionando funcionalidades fictícias como gestão de chaves local e compatibilidade com carteiras de hardware. A fraude de phishing demonstra uma execução profissional—os emails não contêm erros ortográficos e usam terminologia formal, fazendo com que o esquema pareça credível para utilizadores desavisados.

Cada mensagem inclui um link de download para um ficheiro de instalador MSI trojanizado. O ficheiro contorna os mecanismos padrão de verificação de segurança e não possui assinaturas digitais válidas que indiquem legitimidade. Quando os utilizadores executam o instalador, ativam inadvertidamente a carga maliciosa embutida.

Instalador Malicioso Entrega Cavalo de Troia de Acesso Remoto

O instalador weaponizado, chamado Eternl.msi (hash do ficheiro: 8fa4844e40669c1cb417d7cf923bf3e0), inclui uma ferramenta perigosa LogMeIn Resolve. Ao ser executado, o instalador lança um ficheiro executável chamado unattended updater.exe, que na realidade é o componente GoToResolveUnattendedUpdater.exe.

Este executável estabelece persistência no sistema da vítima criando diretórios dentro de Program Files e escrevendo múltiplos ficheiros de configuração, incluindo unattended.json e pc.json. O ficheiro unattended.json é particularmente perigoso—ativa silenciosamente capacidades de acesso remoto sem o conhecimento ou consentimento do utilizador. Uma vez ativado, o sistema infetado torna-se totalmente controlável pelos atacantes.

O tráfego de rede confirma que o malware comunica com infraestruturas conhecidas de comando e controlo do GoToResolve, especificamente devices-iot.console.gotoresolve.com e dumpster.console.gotoresolve.com. O malware transmite informações do sistema em formato JSON e estabelece ligações persistentes, permitindo que os agentes de ameaça emitam comandos remotamente. As vítimas não têm indicação de que o sistema foi comprometido até que os atacantes explorem o acesso.

Comparação com Esquemas Anteriores de Fraude por Phishing da Meta

Este ataque à carteira Cardano segue um esquema semelhante ao utilizado em campanhas anteriores de phishing direcionadas a utilizadores empresariais da Meta. Nessa campanha, as vítimas recebiam emails alegando que as suas contas de publicidade tinham violado regulamentos da UE. As mensagens usavam a marca Meta e linguagem oficial para criar uma falsa credibilidade.

Ao clicar no link, os utilizadores eram redirecionados para uma página fabricada do Meta Business Manager, exibindo avisos urgentes sobre suspensão de conta. Eram solicitados a inserir credenciais de login para “restaurar” o acesso. Um chat de suporte falso guiava as vítimas através de um processo de recuperação de conta, que na verdade recolhia as suas informações de autenticação.

A estrutura paralela—urgência, impersonação, páginas falsas de aterragem e recolha de credenciais—revela como os atacantes reutilizam táticas eficazes de engenharia social em diferentes públicos-alvo. Quer visem utilizadores de criptomoedas ou gestores de negócios, a metodologia de fraude por phishing mantém-se consistente: estabelecer falsa legitimidade, criar pressão e explorar a confiança do utilizador.

Como Proteger-se Contra Ataques de Impersonação de Carteiras

Especialistas de segurança e desenvolvedores de carteiras aconselham os utilizadores a adotarem práticas defensivas contra fraudes por phishing. Sempre descarregue o software da carteira exclusivamente de sites oficiais do projeto ou lojas de aplicações verificadas. Domínios recentemente registados representam risco extremo—verifique a idade do domínio e detalhes do certificado SSL antes de confiar num site.

Seja cético em relação a emails não solicitados que promovam atualizações de carteira ou ofereçam recompensas inesperadas em tokens. Os projetos legítimos de carteiras raramente distribuem software através de campanhas de phishing, e atualizações autênticas aparecem por canais estabelecidos. Examine cuidadosamente os endereços de remetente dos emails, pois endereços falsificados às vezes contêm substituições subtis de caracteres.

Ative a autenticação de dois fatores em contas de troca de criptomoedas e contas de email importantes vinculadas às carteiras. Esta camada adicional impede acessos não autorizados mesmo que as credenciais sejam comprometidas. Mantenha atualizado o software antivírus e anti-malware para detectar variantes conhecidas de cavalos de Troia, como as versões do LogMeIn Resolve.

Por fim, se descarregou alguma aplicação de carteira suspeita, desconecte imediatamente os computadores afetados das redes e execute varreduras completas de malware. Reporte emails suspeitos de fraude por phishing à equipa de segurança do projeto legítimo. Mantendo-se vigilante contra técnicas de phishing e verificando a legitimidade em cada passo, os utilizadores de Cardano podem reduzir significativamente a sua exposição a estas ameaças em evolução.