据悉,一个假冒的Pixelmon NFT网站正用免费代币和收藏品吸引粉丝,并用窃取加密货币钱包的恶意软件对其进行感染。
冒充Pixelmon项目
该恶意站点几乎是合法站点的复制品,它提供在设备上安装密码窃取恶意软件的可执行文件,而不是该项目的游戏演示。
假的Pixelmon网站
该网站提供了一个名为Installer.zip的文件,其中包含一个看似已损坏且不会以任何恶意软件感染用户的可执行文件。
然而,首先发现这个恶意站点的MalwareHunterTeam还发现了该站点分发的其他恶意文件。
此恶意站点分发的文件之一是setup.zip,其中包含setup.lnk文件。Setup.lnk是一个Windows快捷方式,它将执行PowerShell命令以从pixelmon[.]pw下载system32.hta文件。
Setup.lnk内容
在测试这些恶意有效载荷时,System32.hta文件下载了Vidar,这是一种密码窃取恶意软件,不像过去那样常用。安全研究员Fumik0_证实了这一点 ,他之前曾分析过这个恶意软件家族。
在执行时,威胁参与者的Vidar样本将连接到Telegram频道并检索恶意软件命令和控制服务器的IP地址。
包含C2 IP地址的Telegram频道
恶意软件从C2中检索配置命令,并下载更多模块,用于从受感染设备中窃取数据。
Vidar恶意软件可以从浏览器和应用程序中窃取密码,并在计算机中搜索与特定名称匹配的文件,然后将这些文件上传给威胁参与者。
从下面的恶意软件配置中可以看出,C2指示恶意软件搜索和窃取各种文件,包括文本文件、加密货币钱包、备份、代码、密码文件和身份验证文件。
从C2服务器检索的配置命令
这是一个NFT网站,预计访问者将在其计算机上安装加密货币钱包,因此,威胁参与者强调搜索和窃取与加密货币相关的文件。
虽然该站点目前没有分发有效的有效载荷,但已有证据表明威胁参与者在过去几天继续修改该站点,因为两天前可用的有效载荷已经不复存在。凭借该网站上的活动可以预计,此活动将继续活跃,并且威胁会很快增加。
随着NFT项目被旨在窃取加密货币的骗局所淹没,用户应该再三检查正在访问的URL是否与感兴趣的项目相关。此外,在未使用防病毒软件或使用VirusTotal进行扫描之前,切勿执行来自未知网站的任何可执行文件。
转自 E安全,原文链接:https://mp.weixin.qq.com/s/nIqXvfsJWLGOzySxSdsDGA
封面来源于网络,如有侵权请联系删除