黑客推动伪造的口袋妖怪NFT游戏接管Windows设备

威胁者正在使用精心制作的 Pokemon NFT 纸牌游戏网站来分发 NetSupport 远程访问工具并控制受害者的设备。

仍在在线的网站“pokemon-go.io”声称拥有围绕 Pokemon 特许经营权构建的新 NFT 纸牌游戏，为用户提供战略乐趣以及 NFT 投资利润。

考虑到 Pokemon 和 NFT 的流行，恶意门户的运营商应该不难通过垃圾邮件、社交媒体帖子等吸引观众访问该网站。

宣传假口袋妖怪 NFT 游戏的网站

那些点击“在 PC 上玩”按钮的人会下载一个看起来像合法游戏安装程序的可执行文件，但实际上是在受害者的系统上安装了 NetSupport 远程访问工具 (RAT)。

ASEC的分析师发现了该操作 ，他们报告称该活动还使用了第二个网站“beta-pokemoncards.io”，但此后该网站已下线。

该活动的第一个活动迹象出现在 2022 年 12 月，而早期从 VirusTotal 检索到的样本显示，相同的操作员推送了一个伪造的 Visual Studio 文件，而不是口袋妖怪游戏。

NetSupport RAT 可执行文件（“client32.exe”）及其依赖项安装在 %APPDATA% 路径的新文件夹中。它们被设置为“隐藏”以帮助逃避对文件系统执行手动检查的受害者的检测。

丢弃的文件和配置文件的内容 

此外，安装程序会在 Windows 启动文件夹中创建一个条目，以确保 RAT 将在系统启动时执行。

由于 NetSupport RAT 是一个合法程序，威胁行为者通常会使用它来逃避安全软件。

NetSupport RAT 接口

威胁行为者现在可以远程连接到用户的设备以窃取数据、安装其他恶意软件，甚至试图在网络上进一步传播。

虽然 NetSupport Manager 是一种合法的软件产品，但它通常被威胁行为者用作其恶意活动的一部分。

2020 年， 微软警告网络钓鱼攻击者使用以 COVID-19 为主题的 Excel 文件，将 NetSupport RAT 投放到收件人的计算机上。

2022 年 8 月，一场针对具有假 Cloudflare DDoS 保护页面的 WordPress 网站的活动在受害者身上安装了 NetSupport RAT 和 Raccoon Stealer。

NetSupport Manager 支持远程屏幕控制、屏幕录制、系统监控、远程系统分组以实现更好的控制，以及大量连接选项，包括网络流量加密。

也就是说，这种感染的后果广泛而严重，主要涉及未经授权访问敏感用户数据和下载更多恶意软件。

伪装成口袋妖怪游戏的 NetSupport RAT 恶意软件的分发

NetSupport Manager 是一款远程控制工具，普通用户或企业用户可以安装使用，用于远程控制系统。然而，它被许多威胁行为者滥用，因为它允许对特定系统进行外部控制。

与大多数基于命令行的后门和RAT（远程访问木马）不同，远程控制工具（Remote Administration Tools）强调用户友好性，因此它们提供远程桌面，也称为GUI环境。即使它们可能并非出于恶意目的而开发，但如果它们被安装在受感染的系统上，它们可能会被威胁行为者用于恶意目的，例如安装额外的恶意软件或信息勒索。

与其他后门不同，大多数远程控制工具被无数用户使用，因此很容易被识别为正常程序。因此，它们的优势在于允许攻击者使用远程控制工具（普通程序）绕过安全软件的检测，同时在 GUI 环境中控制受感染的系统。

以下 ASEC 博文涵盖了使用 AnyDesk、TeamViewer、Ammyy Admin 和 Tmate 等各种远程控制工具进行攻击的案例。

ASEC 分析小组最近发现，NetSupport RAT 恶意软件是从伪装成口袋妖怪纸牌游戏的网络钓鱼页面分发的。此外，由于它不是以用于正常目的的形式分发，而是以威胁行为者控制受感染系统的形式分发，因此本博客将其称为“NetSupport RAT”。NetSupport RAT 一直被威胁行为者使用，甚至最近几天仍在使用。它通过垃圾邮件或伪装成原始程序的网络钓鱼页面进行分发。

全文链接：https://asec.ahnlab.com/en/45312/

原文始发于微信公众号（网络研究院）：黑客推动伪造的口袋妖怪NFT游戏接管Windows设备