Киберпреступники создали покемонов для взлома систем

Эксперты по кибербезопасности из AhnLab Security Emergency Response Center (ASEC) обнаружили фишинговую кампанию , которая распространяет вредоносное ПО через поддельную NFT-игру Pokémon.

По данным ASEC, 2 фишинговых сайта распространяли инструмент удаленного администрирования NetSupport Manager (Remote Administration Tool, RAT) для получения контроля над устройствами жертв. Фишинговые сайты были специально разработаны, чтобы имитировать карточную NFT-игру, основанную на франшизе Pokémon. На данный момент сайты уже не работают.

Хотя NetSupport Manager RAT является легитимной программой, она может использоваться в злонамеренных целях, чтобы установить дополнительные вредоносные программы или программы-вымогатели.

Поддельная страница игры Pokemon

Как только пользователь нажимал кнопку «Play on PC» на фишинговой странице, загружался файл, который выглядел как установщик игры, но содержал NetSupport RAT.

При запуске вредоносная программа создает новую папку по пути «%APPDATA%», а также скрытые файлы, связанные с NetSupport, что затрудняет пользователю их поиск вручную. Ярлык в папке «Автозагрузка» обеспечивает запуск вредоносной программы даже после перезагрузки.

После установки NetSupport RAT злоумышленник может получить полный контроль над зараженной системой. Функции NetSupport включают:

• удаленное управление;
• захват экрана;
• перехват буфера обмена;
• просмотр истории браузера;
• управление файлами;
• выполнение различных команд.

Эксперты предупредили, что NetSupport RAT также распространяется через поддельные письма, замаскированные под счета-фактуры, отгрузочные документы и заказы на покупку. Пользователям рекомендуется загружать любое стороннее ПО с официальных сайтов и не открывать вложения в подозрительных электронных письмах. Также необходимо регулярно обновлять свои операционные системы и браузеры до последних версий, чтобы заранее предотвратить заражение вредоносным ПО.