Pokemon

攻撃者は、巧妙に作成されたポケモン NFT カード ゲームの Web サイトを使用して、NetSupport リモート アクセス ツールを配布し、被害者のデバイスを制御しています。

これを書いている時点でまだオンラインであるウェブサイト「pokemon-go[.]io」は、ポケモンフランチャイズを中心に構築された新しいNFTカードゲームの本拠地であると主張しており、NFTの投資利益とともに戦略的な楽しみをユーザーに提供しています.

ポケモンと NFT の両方の人気を考えると、悪意のあるポータルの運営者がマルスパムやソーシャル メディアの投稿などを通じてサイトに視聴者を引き寄せることは難しくありません。

偽のポケモン NFT ゲームを宣伝するサイト
偽のポケモン NFT ゲームを宣伝するサイト()

「PC でプレイ」ボタンをクリックすると、正規のゲーム インストーラーのように見える実行可能ファイルがダウンロードされますが、実際には被害者のシステムに NetSupport リモート アクセス ツール (RAT) がインストールされます。

この操作はASECのアナリストによって発見され、「beta-pokemoncards[.]io」というキャンペーンで使用された 2 つ目のサイトもあったと報告されていますが、その後オフラインになりました。

このキャンペーンの活動の最初の兆候は 2022 年 12 月に現れましたが、VirusTotal から取得された以前のサンプルは、同じオペレーターがポケモン ゲームではなく偽の Visual Studio ファイルをプッシュしたことを示していました。

NetSupport RAT のドロップ

NetSupport RAT 実行可能ファイル (「client32.exe」) とその依存関係は、%APPDATA% パスの新しいフォルダーにインストールされます。これらは「非表示」に設定されており、ファイル システムで手動検査を実行している被害者からの検出を回避するのに役立ちます。

ドロップされたファイルと構成ファイルの内容
ドロップされたファイルと構成ファイルの内容(ASEC)

さらに、インストーラーは Windows スタートアップ フォルダーにエントリを作成し、システムの起動時に RAT が確実に実行されるようにします。

NetSupport RAT (NetSupport Manager) は正当なプログラムであるため、攻撃者は一般に、セキュリティ ソフトウェアを回避することを期待してこれを使用します。

NetSupport RAT インターフェース
NetSupport RAT インターフェイス(ASEC)

攻撃者は、リモートでユーザーのデバイスに接続して、データを盗んだり、他のマルウェアをインストールしたり、さらにはネットワーク上で拡散を試みたりすることができます。

NetSupport Manager は正当なソフトウェア製品ですが、攻撃者が悪意のあるキャンペーンの一部として一般的に使用されています。

2020 年、 Microsoft は、受信者のコンピューターに NetSupport RAT をドロップする COVID-19 をテーマにした Excel ファイルを使用するフィッシング アクターについて警告しました。

2022 年 8 月、偽の Cloudflare DDoS 保護ページを含むWordPress サイトを標的としたキャンペーンにより、被害者に NetSupport RAT と Raccoon Stealer がインストールされました。

NetSupport Manager は、リモート画面コントロール、画面録画、システム監視、より良いコントロールのためのリモート システム グループ化、およびネットワーク トラフィックの暗号化を含む多数の接続オプションをサポートしています。

とはいえ、このような感染の結果は広範かつ深刻であり、主にユーザーの機密データへの不正アクセスと、さらなるマルウェアのダウンロードに関するものです。