Alerta de seguridad de la cartera de Cardano: exposición de un ataque de phishing en Eternl Desktop, riesgo de control remoto de la clave privada

Recientemente, se ha propagado un ataque de phishing dirigido a los usuarios de Cardano. Varios investigadores de seguridad han descubierto que los atacantes, mediante correos electrónicos falsificados cuidadosamente, inducen a los usuarios a descargar una cartera fraudulenta llamada Eternl Desktop, con el fin de obtener control sobre sus dispositivos y poner en riesgo la seguridad de sus activos criptográficos. Este incidente se considera uno de los riesgos de seguridad de cartera más graves en el ecosistema actual de Cardano.

El contenido del correo de ataque es altamente profesional, con un tono formal, gramática rigurosa y casi sin errores ortográficos o de formato. El correo afirma que los usuarios pueden obtener recompensas en tokens NIGHT y ATMA a través del plan Diffusion Staking Basket, para aumentar su credibilidad, y los guía a hacer clic en un enlace de descarga. En realidad, dicho enlace apunta a un dominio registrado recientemente, download.eternldesktop.network, y no a canales oficiales.

El investigador de seguridad Anurag descubrió que el paquete de instalación Eternl.msi distribuido en ese dominio tiene un tamaño de aproximadamente 23.3 MB y contiene una herramienta de administración remota oculta llamada LogMeIn Resolve. Tras la instalación, el programa malicioso libera un archivo ejecutable llamado unattended-updater.exe y crea una estructura completa de archivos en el directorio Program Files del sistema, además de escribir varios archivos de configuración como unattended.json, logger.json, mandatory.json y pc.json. Entre ellos, unattended.json habilita directamente el acceso remoto sin necesidad de confirmación del usuario.

Un análisis adicional de la red revela que este programa malicioso se conecta a la infraestructura de GoTo Resolve y, mediante credenciales API codificadas en el código, envía continuamente información de eventos del sistema a un servidor remoto en formato JSON. Esto significa que, si los atacantes logran infiltrarse con éxito, podrán mantener el control del dispositivo víctima a largo plazo, incluyendo la ejecución remota de comandos, el robo de credenciales y el acceso potencial a las claves privadas de la cartera. El nivel de riesgo de seguridad se evalúa como alto.

Es importante tener en cuenta que la versión fraudulenta de Eternl Desktop casi copia por completo la versión oficial en interfaz y descripción de funciones, incluyendo compatibilidad con hardware wallet, gestión de claves locales y delegación avanzada de staking, lo que la hace muy engañosa. Los atacantes claramente aprovechan narrativas relacionadas con la gobernanza de Cardano, los beneficios del staking y los incentivos del ecosistema para realizar ataques de ingeniería social.

Los expertos en seguridad advierten que todos los usuarios de Cardano deben verificar la fuente del software antes de descargar la aplicación de cartera o participar en actividades de staking, asegurándose de que provenga de canales oficiales y que la firma digital sea válida. Cualquier “actualización de cartera” proveniente de dominios recién registrados, archivos adjuntos en correos electrónicos o enlaces no oficiales debe considerarse una amenaza potencial. Este incidente vuelve a poner de manifiesto los desafíos reales que enfrentan la seguridad del ecosistema de Cardano ante ataques de phishing a carteras y abusos en la cadena de suministro.