|
Злоумышленники используют хорошо продуманный веб-сайт игры Pokemon NFT для распространения инструмента удаленного доступа NetSupport и получения контроля над устройствами жертв.
Веб-сайт «pokemon-go[.]io», который на момент написания статьи все еще был в сети, утверждает, что является домом для новой игры NFT, построенной на основе франшизы Pokemon, предлагая пользователям стратегическое развлечение вместе с прибылью от инвестиций NFT.
Учитывая популярность как Pokemon, так и NFT, для операторов вредоносного портала не составляет труда привлечь аудиторию на сайт с помощью вредоносного спама, сообщений в соцсетях и т. д.
Те, кто нажимает кнопку «Играть на ПК», загружают исполняемый файл, который выглядит как законный установщик игры, но на самом деле устанавливает инструмент удаленного доступа NetSupport (RAT) в системе жертвы.
Операция была раскрыта аналитиками ASEC, которые сообщают, что в кампании также использовался второй сайт, «beta-pokemoncards[.]io», но с тех пор он был отключен.
Первые признаки активности этой кампании появились в декабре 2022 года, а более ранние образцы, полученные от VirusTotal, показали, что те же операторы запустили поддельный файл Visual Studio вместо игры Pokemon.
Исполняемый файл NetSupport RAT ("client32.exe") и его зависимости устанавливаются в новую папку по пути %APPDATA%. Они настроены как «скрытые», чтобы помочь избежать обнаружения жертвами, выполняющими ручную проверку файловой системы.
Кроме того, установщик создает запись в папке автозагрузки Windows, чтобы обеспечить запуск RAT при загрузке системы.
Поскольку NetSupport RAT (NetSupport Manager) является законной программой, злоумышленники обычно используют ее в надежде, что она обойдет программное обеспечение безопасности.
NetSupport Manager поддерживает удаленное управление экраном, запись экрана, мониторинг системы, группировку удаленных систем для лучшего контроля и множество вариантов подключения, включая шифрование сетевого трафика. Злоумышленники с помощью этой программы могут удаленно подключаться к устройству пользователя для кражи данных, установки других вредоносных программ или даже попыток дальнейшего распространения по сети. Последствия такого заражения обширны и серьезны. В основном это несанкционированный доступ к конфиденциальным пользовательским данным и загрузка дополнительных вредоносных программ.
BleepingComputer |
|