黑客推动伪造的口袋妖怪 NFT 游戏接管 Windows 设备

2023-01-09 10:00:00 1 606

威胁者正在使用精心制作的 Pokemon NFT 纸牌游戏网站来分发 NetSupport 远程访问工具并控制受害者的设备。



威胁者正在使用精心制作的 Pokemon NFT 纸牌游戏网站来分发 NetSupport 远程访问工具并控制受害者的设备。

在撰写本文时仍在在线的网站“pokemon-go[.]io”声称拥有围绕 Pokemon 特许经营权构建的新 NFT 纸牌游戏,为用户提供战略乐趣以及 NFT 投资利润。

考虑到 Pokemon 和 NFT 的流行,恶意门户的运营商应该不难通过垃圾邮件、社交媒体帖子等吸引观众访问该网站。


宣传假口袋妖怪 NFT 游戏的网站 (BleepingComputer)

那些点击“在 PC 上玩”按钮的人会下载一个看起来像合法游戏安装程序的可执行文件,但实际上是在受害者的系统上安装了 NetSupport 远程访问工具 (RAT)。

ASEC的分析师发现了该操作 ,他们报告称该活动还使用了第二个网站“beta-pokemoncards[.]io”,但此后该网站已下线。

该活动的第一个活动迹象出现在 2022 年 12 月,而早期从 VirusTotal 检索到的样本显示,相同的操作员推送了一个伪造的 Visual Studio 文件,而不是口袋妖怪游戏。


删除 NetSupport RAT

NetSupport RAT 可执行文件(“client32.exe”)及其依赖项安装在 %APPDATA% 路径的新文件夹中。它们被设置为“隐藏”以帮助逃避对文件系统执行手动检查的受害者的检测。



丢弃的文件和配置文件的内容 (ASEC)

此外,安装程序会在 Windows 启动文件夹中创建一个条目,以确保 RAT 将在系统启动时执行。

由于 NetSupport RAT (NetSupport Manager) 是一个合法程序,威胁行为者通常会使用它来逃避安全软件。



NetSupport RAT 接口 (ASEC)

威胁行为者现在可以远程连接到用户的设备以窃取数据、安装其他恶意软件,甚至试图在网络上进一步传播。

虽然 NetSupport Manager 是一种合法的软件产品,但它通常被威胁行为者用作其恶意活动的一部分。

2020 年, 微软警告 网络钓鱼攻击者使用以 COVID-19 为主题的 Excel 文件,将 NetSupport RAT 投放到收件人的计算机上。

2022 年 8 月, 一场针对具有假 Cloudflare DDoS 保护页面的 WordPress 网站的活动在受害者身上安装了 NetSupport RAT 和 Raccoon Stealer。

NetSupport Manager 支持远程屏幕控制、屏幕录制、系统监控、远程系统分组以实现更好的控制,以及大量连接选项,包括网络流量加密。

也就是说,这种感染的后果广泛而严重,主要涉及未经授权访问敏感用户数据和下载更多恶意软件。

关于作者

评论1次

要评论?请先  登录  或  注册