卡尔达诺用户遭遇钓鱼诈骗，分发含有钱包恶意软件的钓鱼攻击，旨在窃取用户的资金和个人信息。攻击者通过伪装成官方渠道或可信的第三方，诱导用户点击恶意链接或下载恶意附件，从而感染设备并窃取钱包数据。用户应提高警惕，避免点击可疑链接，确保软件来源可靠，并使用安全的防护措施以保护资产安全。

卡尔达诺持有者正面临日益严重的安全威胁，因为网络犯罪分子发起了一场复杂的钓鱼诈骗活动，冒充Eternl桌面钱包。该方案结合了专业外观的电子邮件、虚假的加密货币激励以及隐藏的恶意软件，旨在破坏用户系统。安全研究人员发现，下载假钱包的受害者会获得包含远程访问木马的恶意安装程序，攻击者可以在未经授权的情况下完全控制受害系统。

钓鱼诈骗活动的运作方式

攻击始于令人信服的钓鱼邮件，伪装成官方的Eternl桌面通讯。攻击者声称引入了诸如改进的卡尔达诺质押支持和治理集成等新功能。虚假信息中还夹带有吸引人的激励，包括NIGHT和ATMA代币奖励，制造紧迫感，促使用户立即下载“更新版”钱包。

这些邮件引导用户访问dot.eternldesktop.network，这是一个新注册的域名，模仿合法的Eternl网站。根据威胁研究员Anurag的说法，攻击者仔细复制了真实Eternl公告中的措辞和设计元素，还添加了虚构的功能，如本地密钥管理和硬件钱包兼容性。钓鱼诈骗表现出专业的执行力——邮件没有拼写错误，使用正式术语，使骗局对毫无戒备的用户看起来可信。

每封邮件都包含一个下载链接，指向一个被植入木马的MSI安装文件。该文件绕过了标准的安全验证机制，缺少有效的数字签名，无法证明其合法性。当用户执行安装程序时，无意中激活了隐藏在其中的恶意载荷。

恶意安装程序交付远程访问木马

被利用的安装程序名为Eternl.msi（文件哈希：8fa4844e40669c1cb417d7cf923bf3e0），捆绑了一个危险的LogMeIn Resolve工具。执行后，安装程序会部署一个名为unattended updater.exe的可执行文件，实际上是GoToResolveUnattendedUpdater.exe组件。

该可执行文件通过在“Program Files”目录中创建文件夹和写入多个配置文件（包括unattended.json和pc.json）来在受害者的机器上建立持久性。特别危险的是unattended.json文件——它在用户不知情或未授权的情况下，悄无声息地激活远程访问功能。一旦激活，受感染的系统就完全由攻击者控制。

网络流量分析确认，恶意软件与已知的GoToResolve指挥控制基础设施通信，特别是devices-iot.console.gotoresolve.com和dumpster.console.gotoresolve.com。恶意软件以JSON格式传输系统信息，并建立持久连接，使威胁行为者能够远程发出指令。受害者在系统被攻破之前不会察觉任何异常，直到攻击者利用访问权限。

与之前Meta钓鱼诈骗方案的比较

此次针对卡尔达诺钱包的攻击采用了类似于早期针对Meta商业用户的钓鱼手法。在那次行动中，受害者收到声称其广告账户违反欧盟法规的电子邮件。信息中使用了Meta的品牌和官方语言，以建立虚假的可信度。

点击链接后，用户被引导到一个伪造的Meta Business Manager页面，显示关于账户暂停的紧急警告。用户被提示输入登录凭据以“恢复”访问权限。随后，一个虚假的客服聊天引导受害者完成所谓的账户恢复，但实际上是用来收集他们的认证信息。

这种结构——紧迫感、冒充、虚假登陆页面和凭据收集——显示攻击者在不同目标群体中反复使用有效的社会工程技巧。无论是针对加密货币用户还是企业管理者，钓鱼诈骗的方法论始终如一：建立虚假的合法性、制造压力、利用用户信任。

防范钱包冒充攻击的方法

安全专家和钱包开发者敦促用户采取防御措施，防止钓鱼诈骗。始终只从官方项目网站或经过验证的应用商店下载钱包软件。新注册的域名风险极高——在信任某个网站之前，务必验证域名的注册时间和SSL证书详情。

对推送未经请求的电子邮件中宣传钱包更新或提供意外代币奖励保持警惕。合法的钱包项目很少通过钓鱼活动分发软件，官方更新通常通过正规渠道发布。仔细检查电子邮件发件人地址，因为伪造的地址有时会包含细微的字符替换。

启用加密货币交易所账户和重要电子邮箱的双因素认证，即使凭据被盗，也能防止未授权访问。保持杀毒软件和反恶意软件程序的更新，以检测已知的木马变体，如LogMeIn Resolve。

最后，如果下载了任何可疑的钱包应用程序，应立即断开受影响计算机的网络连接，并进行全面的恶意软件扫描。向合法项目的安全团队报告可疑的钓鱼邮件。通过保持警惕、验证每一步的合法性，卡尔达诺用户可以大大降低受到这些不断演变的威胁的风险。