Sahte Pixelmon NFT sitesi size parola çalan kötü amaçlı yazılım bulaştırıyor

0

Last Updated on 15 Mayıs 2022 by admin


Sahte bir Pixelmon NFT sitesi, fanatikleri kripto para cüzdanlarını çalan kötü amaçlı yazılım bulaştırırken parasız jetonlar ve koleksiyonlarla cezbeder.

Pixelmon, pixelmon evcil hayvanlarını kullanarak öteki oyuncuları toplayabileceğiniz, eğitebileceğiniz ve savaşabileceğiniz çevrimiçi bir metaverse oyunu oluşturmayı içeren popüler bir NFT projesidir.

200.000’e yakın Twitter takip edeni ve 25.000’den fazla Discord üyesi ile proje büyük ilgi görmüş oldu.

Pixelmon projesinin kimliğine bürünme

Bu ilgiden yararlanmak için, tehdit oyuncuları meşru pixelmon.club internet sayfasını kopyaladı ve pixelmon’da düzmece bir sürüm oluşturdu.[.]pw kötü amaçlı yazılım dağıtmak için.

Bu site neredeyse yasal sitenin bir kopyası, sadece projenin oyununun bir demosunu sunmak yerine, kötü amaçlı site, bir cihaza gizyazı çalan kötü amaçlı yazılım yükleyen yürütülebilir dosyalar sunar.

Sahte Pixelmon web sitesi
Sahte Pixelmon web sitesi
Kaynak: BleepingComputer

Site, bozuk görünen ve kullanıcılara herhangi bir kötü amaçlı yazılım bulaştırmayan bir yürütülebilir dosya içeren Installer.zip adlı bir dosya sunuyor.

Sadece, MalwareHunterTeam, kim ilk keşfedilen Bu kötü niyetli site, site tarafınca dağıtılan ve hangi kötü amaçlı yazılımın yayıldığını görmemize müsaade eden öteki kötü amaçlı dosyaları buldu.

Bu kötü amaçlı site tarafınca dağıtılan dosyalardan biri, setup.lnk dosyasını içeren setup.zip dosyasıdır. Setup.lnk, pixelmon’dan system32.hta dosyasını indirmek için bir PowerShell komutu yürüten bir Windows kısayoludur.[.]pw.

Setup.lnk içeriği
Setup.lnk içinde ne olduğu
Kaynak: BleepingComputer

BleepingComputer bu zararı olan yükleri kontrol ettiğinde, System32.hta dosyası, geçmişte olmasıyla birlikte yaygın olarak kullanılmayan bir parola çalan kötü amaçlı yazılım olan Vidar’ı indirdi. Bu güvenlik araştırmacısı tarafınca doğrulandı fumik0_bu kötü amaçlı yazılım ailesini daha ilkin çözümleme etmiş olan.

Yürütüldüğünde, tehdit aktörünün Vidar örneği bir Telegram kanalına bağlanacak ve kötü amaçlı yazılımın komut ve denetim sunucusunun IP adresini alacaktır.

C2 IP adresini içeren telgraf kanalı
C2 IP adresini içeren telgraf kanalı
Kaynak: BleepingComputer

Kötü amaçlı yazılım ondan sonra C2’den bir yapılandırma komutu alacak ve virüslü cihazdan veri çalmak için kullanılacak öteki modülleri indirecektir.

Vidar kötü amaçlı yazılımı, tarayıcılardan ve uygulamalardan şifreleri çalabilir ve belirli adlarla eşleşen ve peşinden tehdit aktörüne yüklenen dosyalar için bir bilgisayarda arama yapabilir.

Aşağıdaki kötü amaçlı yazılım yapılandırmasından görebileceğiniz şeklinde, C2 kötü amaçlı yazılıma metin dosyaları, kripto para cüzdanları, yedeklemeler, kodlar, parola dosyaları ve kimlik doğrulama dosyaları dahil olmak suretiyle çeşitli dosyaları araması ve çalması emirini verir.

C2 sunucusundan alınan yapılandırma komutları
C2 sunucusundan alınan yapılandırma komutları
Kaynak: BleepingComputer

Bu bir NFT sitesi olduğundan, ziyaretçilerin bilgisayarlarına kripto para cüzdanları yüklemesi umut ediliyor. Bu yüzden, tehdit oyuncuları kripto para birimi ile ilgili dosyaları aramayı ve çalmayı vurgular.

Site şu anda çalışan bir yük dağıtmıyor olsa da, BleepingComputer, iki gün ilkin mevcut olan yükler artık mevcut olmadığından, tehdit aktörlerinin son birkaç gün içinde siteyi değiştirmeye devam ettiğine dair kanıtlar görmüş oldu.

Sitedeki aktivite sebebiyle, bu kampanyanın etken olmaya devam etmesini ve yakında eklenecek emek verme tehditlerini bekleyebiliriz.

NFT projelerinin kripto paranızı çalmak için tasarlanmış dolandırıcılıklarla dolup taşmasıyla, ziyaret ettiğiniz URL’nin aslen ilgilendiğiniz projeyle ilgili olup olmadığını devamlı üç kez denetim etmelisiniz.

Ek olarak, ilkin virüsten koruma yazılımıyla taramadan yada VirusTotal’ı kullanmadan, bilinmeyen web sitelerinden hiçbir yürütülebilir dosyayı çalıştırmayın.

Cevap bırakın

E-posta hesabınız yayımlanmayacak.