Gli esperti di sicurezza hanno allertato circa una nuova campagna di phishing che utilizza la popolarità dei Pokemon e degli NFT (Non-Fungible Token) per indurre gli utenti a scaricare inconsapevolmente uno strumento dannoso di accesso remoto (RAT).
In particolare, gli attaccanti stanno sfruttando una versione malevola del tool di accesso remoto NetSupport per ottenere l’accesso ai dispositivi delle vittime e prenderne il pieno controllo.
Indice degli argomenti
NetSupport travestito da Pokemon
Il software NetSupport, lo ricordiamo, è un comune programma legittimo di accesso remoto che, se utilizzato da mani malevole, diventa un trojan a tutti gli effetti. È quello che sta capitando con due nuovi siti lanciati di recente basati sul gioco di carte Pokemon, sicuramente molto popolare, soprattutto tra un pubblico giovanile.
I siti Web che i ricercatori hanno rilevato, pokemon-go[.]io e beta-pokemoncards[.]io, ora entrambi messi offline dopo la diffusione del report, sono stati studiati dai criminali come esca per attrarre pubblico. Infatti diventava semplice, a questo punto, per gli attori malevoli condividerne gli indirizzi su social media, chat e forum di discussione a tema.
Una volta canalizzato il traffico sul sito Web malevolo, quest’ultimo faceva scaricare un eseguibile “PokemonBetaGame.exe”. Quest’ultimo è in realtà una versione di NetSupport, appunto il programma di accesso remoto, che normalmente viene adoperato in ambito aziendale per monitorare da sedi separate differenti workstation.
L’intento è dunque quello di spiare da remoto le vittime e i loro movimenti, prendendo il controllo della macchina, esattamente come se l’utente malevolo si trovasse davanti allo schermo della vittima.
Oltre al gioco stesso, secondo quanto dai ricercatori, il sito malevolo offre anche collegamenti per l’acquisto di NFT a marchio Pokemon.
“Sebbene si possa affermare che i programmi installati correlati a NetSupport siano essi stessi programmi normali, possiamo vedere che l’indirizzo del server C&C dell’autore della minaccia è incluso nel file di configurazione ‘client32.ini'”, ha spiegato ASEC.
“Quando NetSupport viene eseguito, legge questo file di configurazione, accede e stabilisce una connessione al server NetSupport dell’autore della minaccia, quindi consente all’operatore di controllare il sistema infetto”.
È importante la mitigazione del danno
Grazie all’analisi di ASEC, sono stati condivisi gli indici di compromissione (IoC) con tutte le più note società di sicurezza informatica, al fine di diffonderne il rilevamento, come si può vedere dal sample caricato su Virus Total.
Essendo di fatto NetSupport un programma legittimo, i criminali non si sono preoccupati, in questo attacco, di dover eludere la sicurezza resa dai software antivirus, almeno non fino alla diffusione di questa analisi. L’installer di PokemonBetaGame, infatti trasferiva i file di configurazione e tutte le dipendenze, semplicemente su una cartella differente e con l’attributo di file nascosto, unicamente per cercare di eludere eventuali controlli manuali sul disco rigido.
Mantenere aggiornati i propri sistemi antivirus ed evitare di dare corso ad inviti privi di conoscenza personale, come nuovi giochi o nuove iniziative di gaming, sono tra i consigli che vengono condivisi dai ricercatori.
Fare sempre molta attenzione anche ai brand già noti, condivisi su nuovi canali, mai sentiti prima: indirizzi Web nuovi e non ufficiali e applicazioni di terze parti.
