Pokemon NFT ゲームカード:偽の Web サイトとトロイの木馬に御用心

Fake Pokemon NFT game installer lets hackers hijack your PC

2023/01/08 BleepingComputer — 巧妙に作られたポケモン NFT カードゲーム Web サイトを用いる脅威アクターたちは、NetSupportリモートアクセス・ツールを配布することで、被害者のデバイスを制御している。この Web サイト “pokemon-go[.]io” は、本稿の執筆時点ではオンラインであり、ポケモンのフランチャイズに基づく新しい NFT カードゲームを提供し、戦略的な楽しさと NFT 投資の利益を提供すると、ユーザーに対して主張している。


ポケモンと NFT の人気を考慮すると、この悪質なポータルの運営者は、ソーシャルメディアへの投稿やマルスパムなどを通じて、容易に観客を集めていると思われる。

Site promoting a fake Pokemon NFT game
Site promoting a fake Pokemon NFT game (BleepingComputer)

自身の PC 上で [Play] ボタンをクリックした人は、正規のゲームインストーラのように見える実行ファイルをダウンロードするが、実際には NetSupport RAT (remote access tool) をインストールすることになる。

この悪意のオペレーションは、ASEC のアナリストたちにより発見された。ASEC によると、このキャンペーンで使用された2番目のサイトが “beta-pokemoncards[.]io” にもあったが、その後にオフラインになったとのことだ。

このキャンペーンの活動の兆候は、2022年12月に現れている。VirusTotal から取得したサンプルでは、この運営者は以前に、偽の Visual Studio ファイルをプッシュしていたことが分かった。

NetSupport RAT のドロップ方法

NetSupport RAT の実行ファイルである “client32.exe” と関連ファイルは、%APPDATA% パス内の新しいフォルダにインストールされる。また、それらのファイルは、ファイル・システム上での手動による検出を回避するために、”hidden” に設定されている。

Dropped files and contents of the configuration file
Dropped files and contents of the configuration file (ASEC)

さらに、このインストーラは、システムブート時に RAT を自動実行するために、Windows Startup フォルダ内にエントリを作成する。

ただし、NetSupport RAT (NetSupport Manager) は正規のプログラムであるため、セキュリティ・ソフトウェアからの回避を期する脅威アクターに悪用される。

NetSupport RAT interface
NetSupport RAT interface (ASEC)

脅威アクターたちは、ユーザーのデバイスにリモートで接続し、データの窃取/マルウェアのインストール/ネットワーク上での拡散などを可能にしていく。

前述の通り、NetSupport Manager は正規のソフトウェア製品がた、悪意のキャンペーンの一環として、脅威アクターたちが常用するものでもある。

2020年に Microsoft は、COVID-19 をテーマにした Excel ファイルを悪用して、NetSupport RAT を受信者のコンピュータにドロップする、フィッシング行為者について警告を発していた。

2022年8月には、WordPress サイトを標的とする、偽の Cloudflare DDoS 保護ページを用いて攻撃するキャンペーンにより、NetSupport RAT と Raccoon Stealer がインストールされた。

NetSupport Manager が提供する豊富な接続オプションには、リモート画面制御/画面録画/システム監視/リモートシステムのグループ化/ネットワーク・トラフィックの暗号化などが含まれる。

つまり、このような感染の結果として、機密性の高いユーザー・データへの不正アクセスや、さらなるマルウェアのダウンロードといった、広範かつ深刻な問題へと発展する恐れがある。

たしかに、ポケモンのゲームカードは NFT に似合いそうですし、そこに犯罪が生じる構造も理解できます。さらに、PC ユーザーが狙われ、RAT が忍び込んでくるという流れは、さらなるサイバー侵害に繋がります。似たような話としては、2022年9月6日の「Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?」と、12月15日の「Minecraft を狙う DDoS ボットネット:PC から IoT デバイスへと広がる感染経路」があります。

%d bloggers like this: