Fake Pokemon NFT game installer lets hackers hijack your PC
2023/01/08 BleepingComputer — 巧妙に作られたポケモン NFT カードゲーム Web サイトを用いる脅威アクターたちは、NetSupportリモートアクセス・ツールを配布することで、被害者のデバイスを制御している。この Web サイト “pokemon-go[.]io” は、本稿の執筆時点ではオンラインであり、ポケモンのフランチャイズに基づく新しい NFT カードゲームを提供し、戦略的な楽しさと NFT 投資の利益を提供すると、ユーザーに対して主張している。
ポケモンと NFT の人気を考慮すると、この悪質なポータルの運営者は、ソーシャルメディアへの投稿やマルスパムなどを通じて、容易に観客を集めていると思われる。
自身の PC 上で [Play] ボタンをクリックした人は、正規のゲームインストーラのように見える実行ファイルをダウンロードするが、実際には NetSupport RAT (remote access tool) をインストールすることになる。
この悪意のオペレーションは、ASEC のアナリストたちにより発見された。ASEC によると、このキャンペーンで使用された2番目のサイトが “beta-pokemoncards[.]io” にもあったが、その後にオフラインになったとのことだ。
このキャンペーンの活動の兆候は、2022年12月に現れている。VirusTotal から取得したサンプルでは、この運営者は以前に、偽の Visual Studio ファイルをプッシュしていたことが分かった。
NetSupport RAT のドロップ方法
NetSupport RAT の実行ファイルである “client32.exe” と関連ファイルは、%APPDATA% パス内の新しいフォルダにインストールされる。また、それらのファイルは、ファイル・システム上での手動による検出を回避するために、”hidden” に設定されている。
さらに、このインストーラは、システムブート時に RAT を自動実行するために、Windows Startup フォルダ内にエントリを作成する。
ただし、NetSupport RAT (NetSupport Manager) は正規のプログラムであるため、セキュリティ・ソフトウェアからの回避を期する脅威アクターに悪用される。
脅威アクターたちは、ユーザーのデバイスにリモートで接続し、データの窃取/マルウェアのインストール/ネットワーク上での拡散などを可能にしていく。
前述の通り、NetSupport Manager は正規のソフトウェア製品がた、悪意のキャンペーンの一環として、脅威アクターたちが常用するものでもある。
2020年に Microsoft は、COVID-19 をテーマにした Excel ファイルを悪用して、NetSupport RAT を受信者のコンピュータにドロップする、フィッシング行為者について警告を発していた。
2022年8月には、WordPress サイトを標的とする、偽の Cloudflare DDoS 保護ページを用いて攻撃するキャンペーンにより、NetSupport RAT と Raccoon Stealer がインストールされた。
NetSupport Manager が提供する豊富な接続オプションには、リモート画面制御/画面録画/システム監視/リモートシステムのグループ化/ネットワーク・トラフィックの暗号化などが含まれる。
つまり、このような感染の結果として、機密性の高いユーザー・データへの不正アクセスや、さらなるマルウェアのダウンロードといった、広範かつ深刻な問題へと発展する恐れがある。
たしかに、ポケモンのゲームカードは NFT に似合いそうですし、そこに犯罪が生じる構造も理解できます。さらに、PC ユーザーが狙われ、RAT が忍び込んでくるという流れは、さらなるサイバー侵害に繋がります。似たような話としては、2022年9月6日の「Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?」と、12月15日の「Minecraft を狙う DDoS ボットネット:PC から IoT デバイスへと広がる感染経路」があります。
IoT OT Security News 
You must be logged in to post a comment.