Οι hackers χρησιμοποιούν έναν καλοφτιαγμένο ιστότοπο παιχνιδιών με κάρτες Pokemon NFT για να διανείμουν το εργαλείο απομακρυσμένης πρόσβασης NetSupport και να πάρουν τον έλεγχο των συσκευών των θυμάτων.
Ο ιστότοπος “pokemon-go[.]io”, ο οποίος είναι ακόμα διαδικτυακός τη στιγμή της σύνταξης, ισχυρίζεται ότι φιλοξενεί ένα νέο παιχνίδι καρτών NFT που δημιουργήθηκε γύρω από το franchise Pokemon, προσφέροντας στους χρήστες στρατηγική διασκέδαση μαζί με κέρδη από επενδύσεις NFT.
Λαμβάνοντας υπόψη τη δημοτικότητα τόσο των Pokemon όσο και των NFT, δεν θα πρέπει να είναι δύσκολο για τους χειριστές της κακόβουλης πύλης να προσελκύσουν κοινό στον ιστότοπο μέσω malspam, αναρτήσεων στα μέσα κοινωνικής δικτύωσης κ.λπ.
Όσοι κάνουν κλικ στο κουμπί “Αναπαραγωγή στον υπολογιστή” κατεβάζουν ένα εκτελέσιμο αρχείο που μοιάζει με νόμιμο πρόγραμμα εγκατάστασης παιχνιδιών, αλλά, στην πραγματικότητα, εγκαθιστά το εργαλείο απομακρυσμένης πρόσβασης NetSupport (RAT) στο σύστημα του θύματος.
Η επιχείρηση αποκαλύφθηκε από αναλυτή ο οποίος αναφέρει ότι χρησιμοποιήθηκε επίσης ένας δεύτερος ιστότοπος στην καμπάνια, στο “beta-pokemoncards[.]io”, αλλά έκτοτε έχει τεθεί εκτός σύνδεσης.
Τα πρώτα σημάδια δραστηριότητας αυτής της καμπάνιας εμφανίστηκαν τον Δεκέμβριο του 2022, ενώ προηγούμενα δείγματα που ανακτήθηκαν από το VirusTotal έδειξαν ότι οι ίδιοι χειριστές έσπρωξαν ένα ψεύτικο αρχείο Visual Studio αντί για το παιχνίδι Pokemon.