Cảnh báo an ninh ví Cardano: Phát hiện cuộc tấn công lừa đảo Eternl Desktop, khóa riêng đối mặt với rủi ro kiểm soát từ xa

Gần đây, một cuộc tấn công lừa đảo qua mạng nhằm vào người dùng Cardano đang lan rộng. Nhiều nhà nghiên cứu an ninh đã phát hiện rằng kẻ tấn công sử dụng email giả mạo tinh vi để dụ người dùng tải xuống ứng dụng ví gian lận có tên Eternl Desktop, từ đó chiếm quyền kiểm soát thiết bị và đe dọa an toàn tài sản mã hóa. Sự kiện này đã được xem là một trong những rủi ro an ninh ví nghiêm trọng trong hệ sinh thái Cardano hiện tại.

Nội dung email tấn công mang tính chuyên nghiệp cao, giọng điệu chính thức, ngữ pháp chính xác, gần như không có lỗi chính tả hoặc định dạng. Email tuyên bố rằng người dùng có thể nhận thưởng NIGHT và ATMA từ chương trình Diffusion Staking Basket, nhằm tăng độ tin cậy và dẫn dắt người dùng nhấp vào liên kết tải xuống. Thực tế, liên kết này dẫn đến một tên miền mới đăng ký là download.eternldesktop.network, không phải kênh chính thức.

Các nhà nghiên cứu an ninh Anurag phát hiện rằng gói cài đặt Eternl.msi phân phối qua tên miền này có kích thước khoảng 23.3 MB, bên trong chứa công cụ quản lý từ xa ẩn LogMeIn Resolve. Sau khi cài đặt, phần mềm độc hại sẽ giải phóng tệp thực thi tên unattended-updater.exe và tạo cấu trúc thư mục đầy đủ trong thư mục Program Files của hệ thống, đồng thời ghi nhiều tệp cấu hình như unattended.json, logger.json, mandatory.json và pc.json. Trong đó, unattended.json sẽ kích hoạt quyền truy cập từ xa không cần xác nhận của người dùng.

Phân tích mạng sâu hơn cho thấy phần mềm độc hại này sẽ kết nối đến hạ tầng của GoTo Resolve và sử dụng thông tin xác thực API mã hóa cứng để gửi liên tục các sự kiện hệ thống về máy chủ từ xa theo định dạng JSON. Điều này có nghĩa là, nếu kẻ tấn công thành công xâm nhập, chúng có thể duy trì quyền kiểm soát lâu dài đối với thiết bị nạn nhân, bao gồm thực thi lệnh từ xa, trộm cắp thông tin xác thực và truy cập vào khóa riêng của ví, gây ra rủi ro an ninh cao.

Đáng chú ý, phiên bản Eternl Desktop giả mạo gần như sao chép hoàn toàn giao diện và chức năng của phiên bản chính thức, bao gồm khả năng tương thích với ví phần cứng, quản lý khóa cục bộ và các chức năng staking nâng cao, gây nhầm lẫn cao. Kẻ tấn công rõ ràng đã lợi dụng các câu chuyện về quản trị Cardano, lợi nhuận staking và các động lực sinh thái để thực hiện các cuộc tấn công xã hội.

Các chuyên gia an ninh cảnh báo rằng tất cả người dùng Cardano cần xác minh nguồn gốc phần mềm qua kênh chính thức trước khi tải xuống ví hoặc tham gia các hoạt động staking. Bất kỳ phần mềm “cập nhật ví” nào đến từ tên miền mới đăng ký, tệp đính kèm email hoặc liên kết không chính thức đều nên coi là mối đe dọa tiềm tàng. Sự kiện này một lần nữa nhấn mạnh những thách thức thực tế mà các cuộc tấn công lừa đảo ví mã hóa và lạm dụng chuỗi cung ứng mang lại cho an ninh hệ sinh thái Cardano.