【粉絲小心】假冒Pokémon特許NFT遊戲網 玩家或失裝置控制權

Pokémon 深受全球民眾歡迎，連帶其相關遊戲亦掀起熱潮。惟最近有黑客利用精心製作的 Pokémon NFT 卡牌遊戲網站，傳播 NetSupport 遠程訪問工具，並藉此控制受害者的設備，各位 Pokémon 粉絲要小心切勿上檔！
 
Pokémon 和 NFT 都是流行關鍵詞，故不難想像不法份子能透通過垃圾郵件、社交媒體帖子等，吸引大眾到訪該網站。Bleeping Computer 報道指，之前仍在運作的網站 pokemon-go[.]io，聲稱是新 NFT 卡牌遊戲的主頁，並已取得 Pokémon 周邊產品特許經營權，向玩家提供遊戲策略及投資 NFT 利潤。
 
當受害者點擊「在 PC 上遊玩（Play on PC）」按鈕，便會下載一個看起來如正常遊戲安裝程式的可執行文件；然而實際上這個程式是在受害者的系統上，安裝 NetSupport 遠程訪問工具（RAT）。
 
ASEC 的分析師發現了這個運作模式，他們亦發現該組活動有另一個網站 beta-pokemoncards[.]io，但此後該網站已下線。該活動於 2022 年 12 月首次被發現運作，而早期從 VirusTotal 檢索到的樣本顯示，相同的操作人員推送了一個偽造的 Visual Studio 文件，而不是現時的 Pokémon 遊戲。
 
NetSupport RAT 可執行文件「client32.exe」及其相關檔案，會安裝在「%APPDATA%」路徑的新文件夾中。它們被設置為「隱藏」狀態，以避過受害者對檔案系統的手動檢查。
 
此外，安裝程式會在 Windows 啟動文件夾中創建條目，以確保 RAT 將在系統啟動時執行。由於 NetSupport RAT（NetSupport Manager）是一個合法程式，黑客通常會使用它來逃避安全軟件。黑客之後便可透過遠程連接到用戶的設備以竊取數據、安裝其他惡意軟件，甚至試圖在網絡上進一步傳播。
 
雖然 NetSupport Manager 是一種合法的軟件產品，支援遠程屏幕控制、屏幕錄製、系統監控等，但它常被黑客用作其惡意活動的一部分。例如 2020 年，Microsoft 警告網絡釣魚攻擊者使用以 COVID-19 為主題的 Excel 文件，將 NetSupport RAT 投放到收件人的計算機上。2022 年 8 月，有惡意活動在 WordPress 以假 Cloudflare DDoS 保護頁面作攻擊，並在受害者處安裝了 NetSupport RAT 和 Raccoon Stealer。
 
資料來源：https://www.bleepingcomputer.com/news/security/hackers-push-fake-pokemon-nft-game-to-take-over-windows-devices/

相關文章：【殭屍程式】Glupteba利用區塊鏈交易特色　藏控制中心位址