Κάποιοι χάκερ σχεδίασαν έναν ιστότοπο που παριστάνει το παιχνίδι καρτών Pokemon NFT για να διαδώσουν το εργαλείο απομακρυσμένης πρόσβασης NetSupport, επιτρέποντάς τους να αποκτήσουν μη εξουσιοδοτημένο έλεγχο στις συσκευές των θυμάτων.
Ο ιστότοπος “pokemon-go[.]io”, ο οποίος είναι ακόμα online τη στιγμή της σύνταξης, ισχυρίζεται ότι φιλοξενεί ένα νέο παιχνίδι καρτών NFT που δημιουργήθηκε γύρω από το franchise Pokemon, προσφέροντας στους χρήστες διασκέδαση μαζί με κέρδη από επενδύσεις NFT.
Δείτε επίσης: Χάκερ έκλεψαν τα ιδιωτικά GitHub αποθετήρια κώδικα του Slack
Με την τεράστια δημοτικότητα τόσο των Pokemon όσο και των NFTs, είναι πολύ πιθανό ότι οι χειριστές πίσω από την κακόβουλη πύλη δεν συναντούν πρόβλημα στο προσελκύουν θύματα μέσω μηνυμάτων spam ή αναρτήσεων στα social media.
Πατώντας το κουμπί “Play on PC” θα κατεβάσετε ένα αρχείο που φαίνεται να είναι ένας αυθεντικός εγκαταστάτης παιχνιδιού, ωστόσο στην πραγματικότητα εγκαθιστά το εργαλείο απομακρυσμένης πρόσβασης (RAT) της NetSupport στο σύστημά σας.
Οι αναλυτές της ASEC εντόπισαν την κακόβουλη επιχείρηση και αποκάλυψαν ότι ένας δεύτερος ιστότοπος είχε χρησιμοποιηθεί στο παρελθόν σε αυτή την εκστρατεία – “beta-pokemoncards[.]io”- αλλά έκτοτε έχει καταργηθεί.
Τον Δεκέμβριο του 2022 εμφανίστηκαν τα πρώτα στοιχεία για την παρουσία αυτής της εκστρατείας και η περαιτέρω διερευνητική έρευνα στο VirusTotal αποκάλυψε ότι οι ίδιοι χειριστές είχαν προωθήσει ένα πλαστό αρχείο Visual Studio αντί για το παιχνίδι Pokemon.
Δείτε επίσης: Χάκερ: Ο Lukashenko δεν έκανε τεστ PCR COVID-19 πριν συναντηθεί με τον Putin
Drop του NetSupport RAT
Το εκτελέσιμο αρχείο NetSupport RAT (“client32.exe”) και τα dependencies του εγκαθίστανται κρυφά σε έναν φάκελο μέσα στο path %APPDATA%, με κάθε αρχείο να έχει οριστεί ως “κρυφό” για να μην εντοπίζεται από τα θύματα που επιθεωρούν χειροκίνητα τη δομή του directory.
Επιπλέον, ο installer δημιουργεί ένα entry στο φάκελο Windows Startup για να εγγυηθεί ότι όταν ενεργοποιείται η συσκευή σας, θα ενεργοποιηθεί και το RAT.
Καθώς το NetSupport Manager είναι μια έγκυρη εφαρμογή, οι κακόβουλοι φορείς τη χρησιμοποιούν συνήθως για να αποφύγουν την ανίχνευση του λογισμικού ασφαλείας.
Οι χάκερ έχουν πλέον τη δυνατότητα να συνδεθούν εξ αποστάσεως στη συσκευή ενός ατόμου και να κλέψουν δεδομένα, να εγκαταστήσουν πρόσθετο malware ή ακόμη και να προσπαθήσουν να εξαπλωθούν περαιτέρω σε ένα δίκτυο.
Παρόλο που το NetSupport Manager είναι ένα αξιόπιστο και νόμιμο προϊόν λογισμικού, δυστυχώς συχνά γίνεται abuse από κακόβουλους φορείς για να διεξάγουν τις κακόβουλες δραστηριότητές τους.
Το 2020, η Microsoft προειδοποίησε το κοινό για κακόβουλους φορείς που χρησιμοποιούσαν αρχεία Excel με θέμα COVID-19 προκειμένου να ρίξουν το NetSupport RAT στους υπολογιστές ανυποψίαστων θυμάτων.
Τον Αύγουστο του 2022, μια κακόβουλη επίθεση εξαπολύθηκε εναντίον ιστότοπων WordPress και εγκατέστησε το NetSupport RAT και το διαβόητο Raccoon Stealer μέσω ψεύτικων σελίδων προστασίας DDoS της Cloudflare.
Δείτε επίσης: Το Play ransomware υπεύθυνο για την επίθεση στην Rackspace
Το NetSupport Manager προσφέρει μια σειρά λύσεων συνδεσιμότητας, συμπεριλαμβανομένης της κρυπτογράφησης της κυκλοφορίας δικτύου, καθώς και απομακρυσμένο έλεγχο οθόνης, παρακολούθηση και καταγραφή του συστήματος για εύκολη διαχείριση. Υποστηρίζει επίσης τη δυνατότητα ομαδοποίησης συστημάτων εξ αποστάσεως, ώστε να έχετε καλύτερο έλεγχο του περιβάλλοντός σας.
Ως αποτέλεσμα της μόλυνσης, οι χρήστες αντιμετωπίζουν σοβαρές συνέπειες, όπως μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα και λήψη πρόσθετου κακόβουλου λογισμικού.
Όπως μπορείτε να δείτε, τα non-fungible tokens έχουν γίνει όλο και πιο δημοφιλή τα τελευταία χρόνια λόγω των μοναδικών χαρακτηριστικών τους και των διαφόρων πλεονεκτημάτων τους σε σχέση με τις παραδοσιακές μεθόδους διαπραγμάτευσης ψηφιακών περιουσιακών στοιχείων.
Πηγή πληροφοριών: bleepingcomputer.com
