CoinFubi

一场网络钓鱼活动正通过假冒邮件针对 Cardano 用户，推广一款欺诈性的 Eternl Desktop 应用程序下载。该攻击利用专业撰写的信息，引用 NIGHT 与 ATMA 代币奖励，以及 Diffusion Staking Basket 计划，以建立可信度。威胁猎人 Anurag 发现了通过新注册域名 download.eternldesktop.network 分发的恶意安装程序。该 23.3 兆字节的 Eternl.msi 文件包含一个隐藏的 LogMeIn Resolve 远程管理工具，在用户不知情的情况下对受害系统建立未授权访问。

该恶意 MSI 安装程序携带特定载荷，并投放一个名为 unattended-updater.exe 的可执行文件，保持原始文件名。在运行时，该可执行文件在系统的 Program Files 目录下创建文件夹结构。安装程序写入多个配置文件，包括 unattended.json、logger.json、mandatory.json 和 pc.json。unattended.json 的配置启用远程访问功能，无需用户交互。

网络分析显示，该恶意软件连接至 GoTo Resolve 基础设施。该可执行文件以 JSON 格式将系统事件信息传输至远程服务器，使用硬编码的 API 凭据。安全研究人员将这一行为归类为关键级别。远程管理工具在成功安装到受害系统后，为攻击者提供长期留存、远程命令执行和凭据获取等能力。

这些钓鱼邮件语气专业而整洁，语法正确且没有拼写错误。欺诈性公告几乎完全复制官方 Eternl Desktop 的发布版本，包含关于硬件钱包兼容性、本地密钥管理和高级委托控制等信息。攻击者利用加密货币治理叙事及生态系统特定引用来分发隐蔽访问工具。通过 Diffusion Staking Basket 计划引用 NIGHT 与 ATMA 代币奖励，为恶意活动增添伪造的合法性。

寻求参与 staking 或治理功能的 Cardano 用户面临来自模仿合法生态系统发展的社会工程手段的高风险。新注册的域名在没有官方验证或数字签名验证的情况下分发该安装程序。用户在下载钱包应用程序之前应仅通过官方渠道验证软件真实性。Anurad 的恶意软件分析揭示了以供应链滥用为手段、旨在建立持续未授权访问的尝试。

GoTo Resolve 工具为攻击者提供远程控制能力，危及钱包安全和私钥访问。用户无论邮件润色程度或专业外观如何，都应避免从未经验证的来源或新注册的域名下载钱包应用。在运行时，该安装程序会投放 unattended-updater.exe，在 Program Files 下创建文件夹结构，并写入 unattended.json、logger.json、mandatory.json、pc.json 等配置文件，启用无需用户交互的远程访问。该恶意软件连接到 GoTo Resolve 基础设施，以 JSON 格式将系统事件信息传输到远程服务器，使用硬编码的 API 凭据。

安全研究人员将其归类为关键级别，原因是具备长期持久性、远程命令执行和凭据收集能力。用户在下载钱包应用程序之前应仅通过官方渠道验证软件真实性，避免从未经验证或新注册域名获取，即使邮件再专业也要避免。GoTo Resolve 工具授予攻击者远程控制能力，可能危及钱包安全与私钥访问。