Alerta de Seguridad 2026: Investigadores Desenmascaran Campaña de Phishing Dirigida a la Comunidad Cardano

La ciberseguridad en cripto vuelve a estar en el punto de mira. Un nuevo informe revela una sofisticada operación de phishing diseñada específicamente para los poseedores de ADA.

La Táctica del Engaño

Los atacantes están utilizando dominios web falsos que imitan a plataformas legítimas del ecosistema Cardano—desde wallets hasta pools de staking. El gancho: ofertas de recompensas, airdrops falsos o alertas de seguridad urgentes que requieren conectar la cartera.

Más Allá del Correo Basura

Esta campaña destaca por su focalización. No es spam masivo, sino ingeniería social dirigida a usuarios activos en foros y redes sociales de Cardano. Los investigadores señalan que la calidad de la falsificación podría engañar incluso a usuarios experimentados.

Un Recordatorio Costoso

Mientras los desarrolladores construyen la próxima generación de finanzas descentralizadas, los actores maliciosos perfeccionan el arte más antiguo: el timo. Un recordatorio de que en la cadena de bloques, el eslabón más débil suele ser el humano que hace clic—algo que ni el proof-of-stake más robusto puede solucionar. La autodisciplina sigue siendo el activo de seguridad más infravalorado, aunque no cotice en CoinMarketCap.

Los piratas informáticos tienen en la mira a los usuarios de la billetera Cardano

Según los informes, los piratas informáticos pudieron crear una réplica del anuncio oficial de Eternl Desktop, complementándolo con un mensaje sobre compatibilidad de billetera de hardware, administración de claves locales y control de delegación avanzado.

El correo electrónico muestra un tono profesional y refinado, con gramática correcta y sin errores ortográficos visibles, lo que lo hace muy eficaz para engañar a los miembros de la comunidad Cardano . Además, distribuye malware a cualquier sistema al que acceda.

Los informes mencionaron que la campaña utiliza un dominio recién registrado, download(punto)eternldesktop(punto)network, para distribuir un paquete de instalación malicioso sin la necesidad de una verificación oficial o validación de firma digital.

En el análisis técnico detallado realizado por Anurag, un cazador de amenazas y analista de malwaredent , el archivo legítimo Eternl.msi contiene una herramienta de administración remota LogMeIn Resolve oculta incluida en su paquete de instalación.

El descubrimiento expuso un intento de abuso de la cadena de suministro destinado a establecer no autorizado a los sistemas de las víctimas. El instalador MSI malicioso, con un tamaño de 23,3 megabytes y hash 8fa4844e40669c1cb417d7cf923bf3e0, instala un ejecutable llamado unattended updater.exe, que utiliza el nombre de archivo original GoToResolveUnattendedUpdater.exe.

Durante el análisis en tiempo de ejecución, el ejecutable crea una estructura de carpetasdentbajo los Archivos de programa del sistema.

Una vez creados los Archivos de Programa, se crea un directorio y se escriben varias configuraciones, incluyendo unattended.json, logger.json, required.json y pc.json. El archivo de configuración unattended.json permite el acceso remoto sin necesidad de interacción del usuario.

El ejecutable descartado intenta establecer conexiones con la infraestructura asociada con los servicios legítimos de GoTo Resolve, incluidos devices-iot.console.gotoresolve.com y dumpster.console.gotoresolve.com.

El malware proporciona a los piratas informáticos acceso remoto

Según el análisis de red, el malware envía información a los hackers en formato JSON. También utiliza servidores remotos para establecer un canal de comunicación para la ejecución de comandos y la monitorización del sistema.

Los investigadores de seguridad dicen que este comportamiento es importante porque las herramientas de administración remota permiten a los piratas informáticos ejecutar comandos remotos y robardentuna vez que el malware se instala en el sistema de la víctima.

La Cardano también muestra cómo los hackers utilizan criptomonedas y la imagen de marca de plataformas legítimas para distribuir herramientas infectadas con malware. Esto significa que los usuarios deben verificar la autenticidad del software que utilizan a través de canales oficiales. Además, deben evitar descargar aplicaciones de monedero de fuentes no verificadas o dominios recién registrados, independientemente de la veracidad de sus correos electrónicos de distribución.

Este Cardano La campaña de phishing es similar a la que se dirigió a los clientes que usaban Meta para anuncios el año pasado. Los usuarios reciben correos electrónicos que afirman que sus anuncios han sido suspendidos temporalmente debido a infracciones de las políticas publicitarias y la normativa de la UE.

Los estafadores incluso llegan a simular la legitimidad añadiendo la marca oficial de Instagram y un lenguaje que suena oficial sobre infracciones de políticas. Sin embargo, un análisis más detallado reveló que los correos electrónicos provenían de un dominio diferente.

Los investigadores mencionaron que, al hacer clic en el enlace, los usuarios son redirigidos a una página falsa de Meta Business que parece convincente. El sitio web imita el sitio de soporte real, abriendo una página que advierte al usuario que su cuenta podría ser cancelada si no actúa de inmediato.

Se engaña a los usuarios para que ingresen sus datos de inicio de sesión de anuncios en los espacios provistos, y el servicio de atención al cliente los guía con instrucciones paso a paso para restaurar sus cuentas.

Únete a Bybit ahora y reclama un bono de $50 en minutos