Une campagne de phishing visant les utilisateurs de Cardano (ADA) circule depuis la fin décembre, diffusant un malware déguisé en application de bureau du portefeuille Eternl.
Des chercheurs en sécurité ont identifié l’attaque après avoir analysé des emails rédigés de façon professionnelle, intitulés « Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants. »
Les messages frauduleux font référence à des termes légitimes de l’écosystème Cardano, dont NIGHT et les récompenses en jetons ATMA via le programme Diffusion Staking Basket.
Les attaquants utilisent le domaine non vérifié download.eternldesktop.network pour distribuer l’installateur malveillant.
Ce qui s’est passé
Le chasseur de menaces indépendant Anurag a analysé le fichier Eternl.msi de 23,3 mégaoctets et a découvert qu’il contient le logiciel de gestion à distance LogMeIn GoTo Resolve.
L’installateur dépose un exécutable nommé unattended-updater.exe qui crée des fichiers de configuration permettant un accès à distance sans interaction de l’utilisateur.
Le malware établit des connexions avec l’infrastructure légitime de GoTo Resolve, ce qui permet aux attaquants d’exécuter des commandes et de surveiller les systèmes des victimes.
L’analyse réseau a montré que le logiciel envoie des informations aux attaquants au format JSON via des serveurs distants.
Les emails ne contiennent aucune faute d’orthographe et utilisent un langage professionnel soigné, ce qui les rend difficiles à distinguer de communications légitimes.
Aucune signature numérique ni vérification de somme de contrôle n’accompagne l’installateur, empêchant les utilisateurs de valider son authenticité avant l’installation.
Lire aussi : Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Pourquoi c’est important
La campagne représente une tentative d’abus de la chaîne d’approvisionnement visant à établir un accès persistant et non autorisé aux systèmes des utilisateurs de Cardano.
Les outils de gestion à distance permettent aux attaquants de vider les portefeuilles de cryptomonnaies et de voler des identifiants une fois installés sur les machines des victimes.
L’attaque démontre comment les acteurs malveillants exploitent des logiciels d’administration légitimes pour contourner la détection par antivirus.
Des chercheurs en sécurité ont souligné que les utilisateurs doivent uniquement télécharger les applications de portefeuille à partir des canaux de communication officiels d’Eternl.
Le domaine récemment enregistré et l’absence d’annonces officielles d’Eternl ont constitué des signaux d’alerte majeurs qui sont passés inaperçus pour certains utilisateurs.
Des campagnes de phishing similaires ont déjà ciblé des utilisateurs de cryptomonnaies via de fausses mises à jour logicielles et de faux portefeuilles.
Lire aussi : Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike
