Ένα ψεύτικο site που μιμείται το Pixelmon NFT project, προσελκύει χρήστες με δωρεάν tokens και συλλεκτικά αντικείμενα και τους μολύνει με password-stealing malware, με σκοπό την κλοπή cryptocurrency wallets.
Δείτε επίσης: Τι είναι τα Non-Fungible Tokens (NFT) που έχουν γίνει το νέο τρεντ;
Το Pixelmon είναι ένα δημοφιλές NFT project και έχει σχεδόν 200.000 followers στο Twitter και πάνω από 25.000 μέλη Discord.
Κάποιοι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται το ενδιαφέρον του κόσμου προς το Pixelmon NFT project και έχουν δημιουργήσει ένα αντίγραφο του νόμιμου site pixelmon.club και μια ψεύτικη έκδοση στο pixelmon[.]pw, με σκοπό τη διανομή κακόβουλου λογισμικού.
Το κακόβουλο site είναι σχεδόν ίδιο με το κανονικό site, αλλά αντί να προσφέρει ένα demo του game του project, προσφέρει εκτελέσιμα που εγκαθιστούν password-stealing malware στη συσκευή του θύματος. Το site προσφέρει ένα αρχείο που ονομάζεται Installer.zip. Αυτό το αρχείο περιέχει ένα εκτελέσιμο αρχείο που φαίνεται να είναι κατεστραμμένο και δεν μολύνει τους χρήστες με κανένα κακόβουλο λογισμικό.
Δείτε επίσης: Γιάννης Ανδρέου Live: Τα πάντα για Crypto, NFT, Metaverse και DeFi
Ωστόσο, το MalwareHunterTeam, που ανακάλυψε για πρώτη φορά τον κακόβουλο ιστότοπο που μιμείται το Pixelmon NFT project, βρήκε άλλα κακόβουλα αρχεία που διανεμήθηκαν από τον ιστότοπο.
Ένα από τα αρχεία που διανέμει το κακόβουλο Pixelmon site είναι το setup.zip, το οποίο περιέχει το αρχείο setup.lnk. Το Setup.lnk είναι μια συντόμευση των Windows που θα εκτελέσει μια εντολή PowerShell για τη λήψη ενός system32.hta file από το pixelmon[.]pw.
Σύμφωνα με το BleepingComputer, το System32.hta file κατεβάζει στη συσκευή το Vidar, ένα password-stealing malware που τώρα δεν είναι τόσο δημοφιλές όσο ήταν στο παρελθόν. Αυτό επιβεβαιώθηκε από τον ερευνητή ασφάλειας Fumik0_, ο οποίος είχε αναλύσει το κακόβουλο λογισμικό στο παρελθόν.
Δείτε επίσης: Instagram: Η πλατφόρμα θα δοκιμάσει NFTs με επιλεγμένους δημιουργούς
Όταν εκτελεστεί, το Vidar θα συνδεθεί σε ένα Telegram channel και θα ανακτήσει τη διεύθυνση IP του command and control server του κακόβουλου λογισμικού. Στη συνέχεια, το malware θα ανακτήσει ένα configuration command από το C2 και θα κατεβάσει πρόσθετα modules που θα χρησιμοποιηθούν για την κλοπή δεδομένων από τη μολυσμένη συσκευή.
Το Vidar malware, που διανέμεται από το Pixelmon NFT site, μπορεί να κλέψει κωδικούς πρόσβασης από προγράμματα περιήγησης και εφαρμογές και να αναζητήσει στον υπολογιστή αρχεία που ταιριάζουν με συγκεκριμένα ονόματα. Αυτά τα δεδομένα, στη συνέχεια, στέλνονται στους χειριστές του malware.
Σύμφωνα με το BleepingComputer, το C2 δίνει εντολή στο password-stealing malware να αναζητά και να κλέβει διάφορα αρχεία, όπως αρχεία κειμένου, cryptocurrency wallets, backups, password files και authentication files.
Δεδομένου ότι το Pixelmon είναι ένα NFT site, αναμένεται ότι οι επισκέπτες θα έχουν εγκατεστημένα cryptocurrency wallets στους υπολογιστές τους. Έτσι, οι επιτιθέμενοι δίνουν έμφαση στην αναζήτηση και την κλοπή αρχείων που σχετίζονται με κρυπτονομίσματα.
Το ψεύτικο Pixelmon NFT site δεν διανέμει προς το παρόν λειτουργικό payload, αλλά σύμφωνα με το BleepingComputer, οι φορείς απειλών το τροποποιούν συνεχώς.
Τα NFT είνα πολύ δημοφιλή το τελευταίο διάστημα και οι εγκληματίες του κυβερνοχώρου το εκμεταλλεύονται αυτό. Πρέπει να έχετε στο νου σας ότι τα NFT projects κατακλύζονται από απάτες που στοχεύουν στην κλοπή των cryptocurrencies σας. Επομένως, θα πρέπει πάντα να ελέγχετε ότι η διεύθυνση URL που επισκέπτεστε είναι σωστή και ότι σχετίζεται πραγματικά με το project που σας ενδιαφέρει.
Επιπλέον, μην εκτελείτε ποτέ executables από άγνωστους ιστότοπους χωρίς να τα σαρώσετε πρώτα με λογισμικό προστασίας από ιούς ή το VirusTotal.
Πηγή: www.bleepingcomputer.com