Người dùng Cardano đang bị nhắm tới bởi một chiến dịch phishing ví mới, giả mạo thông báo ứng dụng Eternl Desktop để dụ tải trình cài đặt chứa mã độc và mở đường cho truy cập từ xa trái phép.
Chiến dịch dùng email được soạn rất chuyên nghiệp, tận dụng các cụm từ “nhận thưởng” và “giveaway” để tạo niềm tin. Rủi ro tăng cao khi kẻ tấn công dựng tên miền mới và phát tán gói cài đặt độc hại, khiến người dùng dễ nhầm là bản phát hành chính thức.
- Email giả mạo Eternl Desktop đang được dùng để lừa người dùng Cardano tải mã độc.
- Trình cài đặt MSI bị cài kèm công cụ quản trị từ xa, có thể dẫn tới chiếm quyền và đánh cắp thông tin.
- Chỉ tải ví từ kênh chính thức, cảnh giác với tên miền mới đăng ký và phần mềm không có xác thực phù hợp.
Chiến dịch phishing nhắm thẳng vào người dùng ví Cardano
Hacker đang phát tán email giả mạo thông báo Eternl Desktop, dụ người dùng tải về một gói cài đặt độc hại thông qua tên miền mới nhằm cấy mã độc vào máy.
Theo các báo cáo, kẻ tấn công tạo bản sao nội dung thông báo Eternl Desktop “như thật”, kèm các chi tiết dễ tạo niềm tin như tương thích ví phần cứng, quản lý khóa cục bộ và điều khiển ủy quyền (delegation) nâng cao.
Email có giọng văn chuyên nghiệp, đúng ngữ pháp và không lộ lỗi chính tả, khiến nhiều thành viên cộng đồng Cardano khó phát hiện. Nguy hiểm ở chỗ, khi người dùng làm theo hướng dẫn tải xuống, mã độc sẽ được đưa vào hệ thống và kích hoạt chuỗi hành vi cài cắm thành phần truy cập từ xa.
Chiến dịch được cho là sử dụng tên miền mới đăng ký: download(dot)eternldesktop(dot)network, để phân phối trình cài đặt độc hại mà không cần quy trình xác thực chính thức hoặc kiểm tra chữ ký số như người dùng thường kỳ vọng ở phần mềm ví tiền điện tử.
Nội dung email còn tận dụng các thuật ngữ “nhận thưởng” để tăng tỷ lệ nhấp, bao gồm đề cập phần thưởng token NIGHT và ATMA thông qua chương trình giveaway crypto, nhằm tạo cảm giác đây là chiến dịch khuyến khích người dùng tham gia staking và quản trị trên Cardano.
Tên miền mới và gói cài đặt MSI là điểm đáng ngờ lớn nhất
Dấu hiệu nổi bật là việc phân phối cài đặt qua một tên miền mới và cung cấp gói MSI bị can thiệp, thay vì điều hướng người dùng tới kênh phát hành chính thức có kiểm chứng.
Phân tích kỹ thuật được thực hiện bởi Anurag, một thợ săn mối đe dọa và nhà phân tích mã độc độc lập, cho biết tệp Eternl.msi “hợp pháp” đã bị nhúng công cụ quản trị từ xa LogMeIn Resolve vào trong gói cài đặt.
Phát hiện này cho thấy dấu hiệu lạm dụng chuỗi cung ứng (supply chain abuse), nhằm thiết lập quyền truy cập trái phép và duy trì bám trụ trên máy nạn nhân. Báo cáo nêu trình cài đặt MSI độc hại có dung lượng 23,3 megabytes và hash 8fa4844e40669c1cb417d7cf923bf3e0.
Sau khi chạy, trình cài đặt thả một tệp thực thi tên “unattended updater.exe”, sử dụng tên gốc “GoToResolveUnattendedUpdater.exe”. Trong phân tích runtime, tệp này tạo cấu trúc thư mục dưới Program Files, sau đó ghi nhiều tệp cấu hình vào hệ thống.
Mã độc thiết lập truy cập từ xa bền vững trên máy nạn nhân
Mã độc tạo các tệp cấu hình để bật chức năng truy cập từ xa không cần tương tác, giúp kẻ tấn công có thể điều khiển máy và theo dõi hệ thống sau khi nạn nhân cài đặt.
Sau khi tạo thư mục trong Program Files, mã độc ghi các cấu hình như unattended.json, logger.json, mandatory.json và pc.json. Đáng chú ý, unattended.json được mô tả là cho phép kích hoạt truy cập từ xa mà không cần người dùng thao tác thêm, làm tăng rủi ro bị chiếm quyền dài hạn.
Tệp thực thi bị thả cũng cố gắng thiết lập kết nối tới hạ tầng liên quan các dịch vụ GoTo Resolve hợp pháp, gồm devices-iot.console.gotoresolve.com và dumpster.console.gotoresolve.com. Việc “núp bóng” lưu lượng đi đến dịch vụ hợp pháp có thể khiến một số người dùng và hệ thống giám sát chủ quan hơn khi đánh giá dấu hiệu bất thường.
Kẻ tấn công dùng kênh C2 để thu thập dữ liệu và thực thi lệnh
Phân tích mạng cho thấy mã độc gửi thông tin dạng JSON và thiết lập kênh liên lạc để thực thi lệnh từ xa, phục vụ giám sát hệ thống và đánh cắp dữ liệu.
Theo phân tích mạng, phần mềm độc hại gửi dữ liệu về cho kẻ tấn công ở định dạng JSON. Đồng thời, nó dựa vào máy chủ từ xa để mở kênh trao đổi phục vụ việc thực thi lệnh và theo dõi tình trạng hệ thống.
Các nhà nghiên cứu an ninh nhấn mạnh hành vi này đặc biệt nguy hiểm vì công cụ quản trị từ xa, khi bị lạm dụng, có thể hỗ trợ thực thi lệnh từ xa và đánh cắp thông tin đăng nhập sau khi đã được cài trên máy nạn nhân. Trong bối cảnh người dùng crypto thường lưu seed phrase, file ví, tiện ích ký giao dịch hoặc dữ liệu 2FA trên thiết bị, hậu quả có thể lan sang tài sản tiền điện tử.
Cách tự bảo vệ khi tải ví crypto và phần mềm staking Cardano
Người dùng nên xác minh phần mềm qua kênh chính thức, tránh tải từ tên miền mới hoặc nguồn không kiểm chứng, kể cả khi email trông rất “chuyên nghiệp”.
Chiến dịch này cho thấy hacker thường tận dụng thương hiệu nền tảng hợp pháp và tâm lý “nhận thưởng” trong crypto để thúc đẩy tải xuống. Vì vậy, người dùng cần kiểm tra kỹ URL, đối chiếu thông báo trên kênh chính thức của dự án và thận trọng với tên miền mới đăng ký hoặc không quen thuộc.
Nguyên tắc thực hành an toàn bao gồm: không cài ví từ liên kết trong email; chỉ tải ứng dụng từ trang phát hành chính thức; kiểm tra cơ chế xác thực phát hành (như chữ ký số/kiểm chứng nhà phát hành nếu có); và cảnh giác với nội dung hứa hẹn token thưởng như NIGHT, ATMA hoặc “giveaway” yêu cầu tải phần mềm.
Chiêu trò giả mạo này tương đồng các vụ lừa đảo nhắm tới người dùng quảng cáo Meta
Mô-típ tấn công tương tự từng được dùng để dẫn nạn nhân tới trang giả, tạo cảm giác khẩn cấp và ép nhập thông tin đăng nhập.
Báo cáo so sánh chiến dịch nhắm Cardano với một chiến dịch trước đó nhắm khách hàng quảng cáo, trong đó nạn nhân nhận email nói quảng cáo bị tạm dừng do vi phạm chính sách và quy định EU. Kẻ lừa đảo khiến email có vẻ hợp pháp bằng cách gắn thương hiệu Instagram và ngôn từ “chuẩn công vụ”, nhưng kiểm tra kỹ sẽ thấy tên miền gửi khác biệt.
Sau khi bấm liên kết, người dùng bị chuyển hướng đến trang Meta Business giả mạo được thiết kế giống trang hỗ trợ thật. Trang này thường mở đầu bằng cảnh báo tài khoản có thể bị chấm dứt nếu không hành động ngay, tạo áp lực thời gian. Nạn nhân bị hướng dẫn nhập thông tin đăng nhập quảng cáo theo từng bước để “khôi phục”, thực chất là trao credential cho kẻ tấn công.
Những câu hỏi thường gặp
Dấu hiệu nào cho thấy email về Eternl Desktop có thể là phishing?
Các dấu hiệu thường gặp gồm: liên kết tải xuống trỏ tới tên miền lạ hoặc mới đăng ký, nội dung nhấn mạnh “nhận thưởng/giveaway” để thúc ép hành động, và yêu cầu cài đặt phần mềm từ liên kết trong email thay vì điều hướng tới kênh phát hành chính thức.
Trình cài đặt MSI độc hại trong chiến dịch này làm gì sau khi chạy?
Nó thả tệp “unattended updater.exe” (tên gốc GoToResolveUnattendedUpdater.exe), tạo thư mục dưới Program Files và ghi nhiều tệp cấu hình như unattended.json, logger.json, mandatory.json và pc.json để bật cơ chế truy cập từ xa không cần người dùng tương tác.
Vì sao công cụ quản trị từ xa lại nguy hiểm với người dùng tiền điện tử?
Khi bị cài trái phép, công cụ quản trị từ xa có thể cho phép kẻ tấn công theo dõi hệ thống, thực thi lệnh, đánh cắp thông tin đăng nhập và truy cập dữ liệu nhạy cảm liên quan ví crypto, hoạt động staking hoặc các dịch vụ người dùng đăng nhập từ cùng thiết bị.
Làm gì để tải ví Cardano an toàn hơn?
Hãy chỉ tải ví từ kênh chính thức của dự án, không cài từ liên kết trong email, và tránh nguồn không kiểm chứng hoặc tên miền mới. Nếu bạn đã lỡ cài đặt, nên ngắt mạng, quét mã độc, kiểm tra tiến trình lạ, và thay đổi thông tin đăng nhập từ một thiết bị sạch.