黑客推动伪造的口袋妖怪NFT游戏接管Windows设备

admin 2023年1月10日11:50:07安全新闻评论10 views1700字阅读5分40秒阅读模式

黑客推动伪造的口袋妖怪NFT游戏接管Windows设备

威胁者正在使用精心制作的 Pokemon NFT 纸牌游戏网站来分发 NetSupport 远程访问工具并控制受害者的设备。

仍在在线的网站“pokemon-go.io”声称拥有围绕 Pokemon 特许经营权构建的新 NFT 纸牌游戏,为用户提供战略乐趣以及 NFT 投资利润。

考虑到 Pokemon 和 NFT 的流行,恶意门户的运营商应该不难通过垃圾邮件、社交媒体帖子等吸引观众访问该网站。

黑客推动伪造的口袋妖怪NFT游戏接管Windows设备

宣传假口袋妖怪 NFT 游戏的网站

那些点击“在 PC 上玩”按钮的人会下载一个看起来像合法游戏安装程序的可执行文件,但实际上是在受害者的系统上安装了 NetSupport 远程访问工具 (RAT)。

ASEC的分析师发现了该操作 ,他们报告称该活动还使用了第二个网站“beta-pokemoncards.io”,但此后该网站已下线。

该活动的第一个活动迹象出现在 2022 年 12 月,而早期从 VirusTotal 检索到的样本显示,相同的操作员推送了一个伪造的 Visual Studio 文件,而不是口袋妖怪游戏。

NetSupport RAT 可执行文件(“client32.exe”)及其依赖项安装在 %APPDATA% 路径的新文件夹中。它们被设置为“隐藏”以帮助逃避对文件系统执行手动检查的受害者的检测。

黑客推动伪造的口袋妖怪NFT游戏接管Windows设备

丢弃的文件和配置文件的内容 

此外,安装程序会在 Windows 启动文件夹中创建一个条目,以确保 RAT 将在系统启动时执行。

由于 NetSupport RAT 是一个合法程序,威胁行为者通常会使用它来逃避安全软件。

黑客推动伪造的口袋妖怪NFT游戏接管Windows设备

NetSupport RAT 接口

威胁行为者现在可以远程连接到用户的设备以窃取数据、安装其他恶意软件,甚至试图在网络上进一步传播。

虽然 NetSupport Manager 是一种合法的软件产品,但它通常被威胁行为者用作其恶意活动的一部分。

2020 年, 微软警告网络钓鱼攻击者使用以 COVID-19 为主题的 Excel 文件,将 NetSupport RAT 投放到收件人的计算机上。

2022 年 8 月,一场针对具有假 Cloudflare DDoS 保护页面的 WordPress 网站的活动在受害者身上安装了 NetSupport RAT 和 Raccoon Stealer。

NetSupport Manager 支持远程屏幕控制、屏幕录制、系统监控、远程系统分组以实现更好的控制,以及大量连接选项,包括网络流量加密。

也就是说,这种感染的后果广泛而严重,主要涉及未经授权访问敏感用户数据和下载更多恶意软件。


伪装成口袋妖怪游戏的 NetSupport RAT 恶意软件的分发
NetSupport Manager 是一款远程控制工具,普通用户或企业用户可以安装使用,用于远程控制系统。然而,它被许多威胁行为者滥用,因为它允许对特定系统进行外部控制。
与大多数基于命令行的后门和RAT(远程访问木马)不同,远程控制工具(Remote Administration Tools)强调用户友好性,因此它们提供远程桌面,也称为GUI环境。即使它们可能并非出于恶意目的而开发,但如果它们被安装在受感染的系统上,它们可能会被威胁行为者用于恶意目的,例如安装额外的恶意软件或信息勒索。
与其他后门不同,大多数远程控制工具被无数用户使用,因此很容易被识别为正常程序。因此,它们的优势在于允许攻击者使用远程控制工具(普通程序)绕过安全软件的检测,同时在 GUI 环境中控制受感染的系统。
以下 ASEC 博文涵盖了使用 AnyDesk、TeamViewer、Ammyy Admin 和 Tmate 等各种远程控制工具进行攻击的案例。
ASEC 分析小组最近发现,NetSupport RAT 恶意软件是从伪装成口袋妖怪纸牌游戏的网络钓鱼页面分发的。此外,由于它不是以用于正常目的的形式分发,而是以威胁行为者控制受感染系统的形式分发,因此本博客将其称为“NetSupport RAT”。NetSupport RAT 一直被威胁行为者使用,甚至最近几天仍在使用。它通过垃圾邮件或伪装成原始程序的网络钓鱼页面进行分发。

黑客推动伪造的口袋妖怪NFT游戏接管Windows设备

黑客推动伪造的口袋妖怪NFT游戏接管Windows设备

黑客推动伪造的口袋妖怪NFT游戏接管Windows设备

全文链接:https://asec.ahnlab.com/en/45312/

原文始发于微信公众号(网络研究院):黑客推动伪造的口袋妖怪NFT游戏接管Windows设备

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月10日11:50:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  黑客推动伪造的口袋妖怪NFT游戏接管Windows设备 http://cn-sec.com/archives/1509656.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: