Эксперты по кибербезопасности из AhnLab Security Emergency Response Center (ASEC) обнаружили фишинговую кампанию, которая распространяет вредоносное ПО через поддельную NFT-игру Pokémon.
По данным ASEC, 2 фишинговых сайта распространяли инструмент удаленного администрирования NetSupport Manager (Remote Administration Tool, RAT) для получения контроля над устройствами жертв. Фишинговые сайты были специально разработаны, чтобы имитировать карточную NFT-игру, основанную на франшизе Pokémon. На данный момент сайты уже не работают.
Хотя NetSupport Manager RAT является легитимной программой, она может использоваться в злонамеренных целях, чтобы установить дополнительные вредоносные программы или программы-вымогатели.
Как только пользователь нажимал кнопку «Play on PC» на фишинговой странице, загружался файл, который выглядел как установщик игры, но содержал NetSupport RAT.
При запуске вредоносная программа создает новую папку по пути «%APPDATA%», а также скрытые файлы, связанные с NetSupport, что затрудняет пользователю их поиск вручную. Ярлык в папке «Автозагрузка» обеспечивает запуск вредоносной программы даже после перезагрузки.
После установки NetSupport RAT злоумышленник может получить полный контроль над зараженной системой. Функции NetSupport включают:
По данным ASEC, 2 фишинговых сайта распространяли инструмент удаленного администрирования NetSupport Manager (Remote Administration Tool, RAT) для получения контроля над устройствами жертв. Фишинговые сайты были специально разработаны, чтобы имитировать карточную NFT-игру, основанную на франшизе Pokémon. На данный момент сайты уже не работают.
Хотя NetSupport Manager RAT является легитимной программой, она может использоваться в злонамеренных целях, чтобы установить дополнительные вредоносные программы или программы-вымогатели.
Как только пользователь нажимал кнопку «Play on PC» на фишинговой странице, загружался файл, который выглядел как установщик игры, но содержал NetSupport RAT.
При запуске вредоносная программа создает новую папку по пути «%APPDATA%», а также скрытые файлы, связанные с NetSupport, что затрудняет пользователю их поиск вручную. Ярлык в папке «Автозагрузка» обеспечивает запуск вредоносной программы даже после перезагрузки.
После установки NetSupport RAT злоумышленник может получить полный контроль над зараженной системой. Функции NetSupport включают:
- удаленное управление;
- захват экрана;
- перехват буфера обмена;
- просмотр истории браузера;
- управление файлами;
- выполнение различных команд.