Solana: NFTs που παριστάνουν το security update Phantom διασπείρουν malware

Χάκερ “ρίχνουν” NFTs στους ιδιοκτήτες cryptocurrency Solana που προσποιούνται ότι είναι ειδοποιήσεις για μια νέα ενημέρωση ασφαλείας Phantom που οδηγεί στην εγκατάσταση malware που κλέβει password και στην κλοπή πορτοφολιών cryptocurrency.

Αυτή η συνεχιζόμενη επίθεση ξεκίνησε πριν από δύο εβδομάδες, με τα NFTs με τίτλο “PHANTOMUPDATE.COM” ή “UPDATEPHANTOM.COM” να στέλνονται ως προειδοποιήσεις από τους προγραμματιστές του Phantom.

Κατά το άνοιγμα των NFTs, οι κάτοχοι wallet ενημερώνονται ότι κυκλοφόρησε μια νέα ενημέρωση ασφαλείας και ότι πρέπει να κάνουν κλικ στο link που εσωκλείεται ή να επισκεφτούν τον ιστότοπο για λήψη και εγκατάσταση.

Δείτε επίσης: Intel: Διέρρευσε ο source code για το BIOS των Alder Lake CPUs και είναι αυθεντικός

“Το Phantom απαιτεί από όλους τους χρήστες να ενημερώσουν τα πορτοφόλια τους. Αυτό πρέπει να γίνει το συντομότερο δυνατό”, αναφέρει η προειδοποίηση στην ψεύτικη ενημέρωση Phantom NFT.

“Αν δεν το κάνετε, μπορεί να οδηγήσει σε απώλεια κεφαλαίων λόγω χάκερ που εκμεταλλεύονται το δίκτυο Solana. Επισκεφτείτε τη διεύθυνση www.updatePhantom.com για να λάβετε την πιο πρόσφατη ενημέρωση ασφαλείας.”

Όταν επισκέπτεστε αυτούς τους ιστότοπους από οποιαδήποτε συσκευή (desktop ή κινητή συσκευή), ο ιστότοπος κατεβάζει αυτόματα ένα batch file των Windows με το όνομα Phantom_Update_2022-10-08.bat [VirusTotal] από το DropBox. Οι προηγούμενες καμπάνιες κατέβαζαν executables με το όνομα Phantom_Update_2022-10-04.exe.

Δείτε επίσης: Callback phishing: Οι μέθοδοι social engineering εξελίσονται

Όταν εκκινηθεί το batch file, θα ελέγξει εάν εκτελείται με δικαιώματα διαχειριστή και, εάν όχι, θα εμφανίσει μια ερώτηση UAC των Windows που ζητά δικαιώματα.

Εάν γίνει αποδεκτή η προτροπή UAC, θα εκκινηθεί μια δέσμη ενεργειών PowerShell που αποκρυπτογραφεί περαιτέρω εντολές για εκτέλεση στα Windows.

Τελικά, αυτό θα οδηγήσει σε λήψη ενός εκτελέσιμου windll32.exe [VirusTotal] από το GitHub και εκτέλεση από το φάκελο C:\Users\<username>\AppData\Local.

Σύμφωνα με το VirusTotal, το αρχείο windll32.exe είναι ένα password-stealing malware που επιχειρεί να κλέψει πληροφορίες προγράμματος περιήγησης, όπως ιστορικό, cookies και κωδικούς πρόσβασης, καθώς και κλειδιά SSH και άλλες πληροφορίες.

Δείτε επίσης: BidenCash: Προσφέρει δωρεάν 1.221.551 κλεμμένες πιστωτικές κάρτες

Αν και δεν είναι σαφές ποιο password-stealing trojan διαδίδεται αυτήν τη στιγμή, προηγούμενες καμπάνιες διένειμαν ένα όνομα αρχείου lib64.exe [VirusTotal], το οποίο προσδιορίστηκε ως MarsStealer.

Το MarsStealer είναι ένα information-stealing malware που κυκλοφόρησε το 2020 και κλέβει δεδομένα από όλα τα δημοφιλή προγράμματα περιήγησης ιστού, plugins ελέγχου ταυτοποίησης δύο παραγόντων και πολλαπλές επεκτάσεις και πορτοφόλια cryptocurrency.

Ο στόχος αυτής της καμπάνιας είναι να κλέψει cryptocurrency wallets και κωδικούς πρόσβασης που θα επέτρεπαν στους απειλητικούς παράγοντες να κλέψουν όλα τα crypto funds και να παραβιάσουν άλλους λογαριασμούς που ανήκουν στο θύμα.

Τα θύματα που εγκατέστησαν την ψεύτικη ενημέρωση ασφαλείας Phantom θα πρέπει να σαρώσουν αμέσως τον υπολογιστή τους με ένα πρόγραμμα antivirus και στη συνέχεια να μεταφέρουν crypto funds και assets από το υπάρχον πορτοφόλι Phantom σε ένα νέο.

Στη συνέχεια, τα θύματα θα πρέπει να αλλάξουν τους κωδικούς πρόσβασης σε όλους τους ιστότοπους που χρησιμοποιούν, εστιάζοντας σε πλατφόρμες συναλλαγών κρυπτονομισμάτων, διαδικτυακά πορτοφόλια, τραπεζικούς λογαριασμούς, email ή άλλες ευαίσθητες πλατφόρμες.

Τελικά, τα θύματα θα πρέπει να αλλάξουν τον κωδικό πρόσβασής τους σε έναν μοναδικό για κάθε ιστότοπο που επισκέπτονται για να αποτρέψουν τη διαρροή των credential σε έναν ιστότοπο από το να επηρεάσουν άλλους ιστότοπους.

Πηγή πληροφοριών: bleepingcomputer.com