Actores de amenazas propagan RAT a través del sitio de tarjetas NFT de Pokémon

Los expertos en seguridad han advertido sobre una nueva campaña de phishing que utiliza la popularidad de Pokémon y NFT para atraer a los usuarios para que descarguen sin darse cuenta una herramienta de acceso remoto (RAT).

La página falsificada del juego de cartas Pokémon fue detectada por el Centro de respuesta electrónica de seguridad AhnLab ( ASEC ) de Corea del Sur . Además del juego en sí el sitio ofrece enlaces para comprar NFT con la marca Pokémon.

ASEC dijo que el botón “Jugar en PC” ubicado en la página de phishing instala de forma encubierta una versión del popular RAT NetSupport. Sin embargo, el proveedor lo describió como “malware” porque la herramienta “no se distribuyó en una forma utilizada para fines normales, sino en una forma diseñada para que el actor de amenazas controle el sistema infectado”.

También distribuida a través de correos electrónicos no deseados y otras marcas suplantadas como Visual Studio, la herramienta maliciosa aparentemente ha estado en circulación desde aproximadamente diciembre de 2022.

“Aunque podría decirse que los programas relacionados con NetSupport instalados son programas normales, podemos ver que la dirección del servidor C&C del actor de amenazas está incluida en el archivo de configuración ‘client32.ini’”, explicó ASEC.

“Cuando se ejecuta NetSupport, lee este archivo de configuración, accede y establece una conexión con el servidor NetSupport del actor de amenazas y luego permite que el operador controle el sistema infectado”.

El RAT de NetSupport en cuestión está siendo utilizado por varios actores de amenazas para secuestrar sistemas específicos, algunos de los cuales lo están propagando a través de correos electrónicos de phishing dentro de facturas falsificadas, documentos de envío y órdenes de compra, dijo ASEC.

“Las funciones admitidas por NetSupport de forma predeterminada incluyen no solo el control remoto de la pantalla, sino también funciones de control del sistema, como la captura de pantalla, el uso compartido del portapapeles, la recopilación de información del historial web, la gestión de archivos y la ejecución de comandos”, agregó.

“Esto significa que el actor de amenazas puede realizar varios comportamientos maliciosos, como extorsionar las credenciales de los usuarios e instalar malware adicional”.

Se aconsejó a los usuarios que mantuvieran sus sistemas actualizados que no abrieran archivos adjuntos en correos electrónicos no solicitados y que solo compraran software de terceros en sitios oficiales.

Fuente: https://www.infosecurity-magazine.com/news/threat-actors-rat-pokemon-nft-card/