Fałszywa strona Pixelmon NFT infekuje złośliwym oprogramowaniem

Podszywanie się pod Pixelmon

Aby wykorzystać to zainteresowanie, hakerzy skopiowali stronę pixelmon.club i stworzyli jej fałszywą wersję pod adresem pixelmon.pw, aby rozprowadzać złośliwe oprogramowanie.

Strona ta jest niemal idealną repliką legalnej witryny, jednak zamiast oferować demo gry projektu, złośliwa strona oferuje pliki wykonywalne, które instalują na urządzeniu złośliwe oprogramowanie wykradające hasła.

Jak działa fałszywe oprogramowanie

Strona oferuje plik o nazwie Installer.zip, który zawiera plik wykonywalny. Na pierwszy rzut oka wydaje się być uszkodzony i nie infekuje użytkowników żadnym złośliwym oprogramowaniem. Jednak MalwareHunterTeam, który jako pierwszy odkrył tę złośliwą stronę, znalazł inne złośliwe pliki dystrybuowane przez tę stronę, które pozwoliły nam zobaczyć, jakie malware jest przez nią rozprzestrzeniane.
Jednym z plików dystrybuowanych przez tę złośliwą stronę jest setup.zip, który zawiera plik setup.lnk. Setup.lnk jest skrótem do systemu Windows, który wykonuje polecenie PowerShell w celu pobrania pliku system32.hta z pixelmon.pw.

Następnie plik System32.hta pobierał Vidar, złośliwe oprogramowanie wykradające hasła. Zostało to potwierdzone przez badacza bezpieczeństwa Fumik0_, który wcześniej analizował tę rodzinę szkodliwego oprogramowania.

Po uruchomieniu próbka Vidara, stworzona przez atakującego, łączy się z kanałem Telegram i pobiera adres IP serwera dowodzenia i kontroli złośliwego oprogramowania. Następnie pobiera polecenie konfiguracyjne z serwera C2 i pobiera kolejne moduły, które są wykorzystywane do wykradania danych z zainfekowanego urządzenia.

Szkodliwe oprogramowanie Vidar może wykradać hasła z przeglądarek i aplikacji oraz przeszukiwać komputer w poszukiwaniu plików o określonych nazwach, które następnie są przesyłane do podmiotu stanowiącego zagrożenie.

Podsumowanie

Ponieważ jest to strona NFT, oczekuje się, że odwiedzający będą mieli zainstalowane na swoich komputerach portfele kryptowalutowe. W związku z tym, agresorzy kładą nacisk na poszukiwanie i kradzież plików związanych z kryptowalutami.

Ponieważ projekty NFT są zasypywane oszustwami mającymi na celu kradzież kryptowaluty, powinieneś zawsze potrójnie sprawdzić, czy odwiedzany przez Ciebie adres URL jest rzeczywiście związany z interesującym Cię projektem.

Ponadto, nigdy nie uruchamiaj żadnych plików wykonywalnych z nieznanych stron internetowych bez uprzedniego przeskanowania ich oprogramowaniem antywirusowym lub choćby przy użyciu VirusTotal.