Credit image: Pixabay
Pokemon yang digandrungi baik manga, anime bahkan games-nya yang sangat populer termasuk di Indonesia, kesuksesan tersebut membuat mereka menebar pesona lebih jauh melalui kartu Pokemon NFT.
Akan tetapi penjahat siber juga tertarik ikut “bermain” dengan memanipulasi website permainan kartu pokemon NFT untuk aksi siber lebih lanjut.
Pelaku diketahui menggunakan situs web tersebut untuk mendistribusikan alat akses jarak jauh NetSupport dan mengambil kendali atas perangkat korban.
|
Baca juga: Risiko NFT |
Situs Pokemon NFT
Website “pokemon-go[.]io,” yang masih online awalnya mengklaim sebagai rumah bagi permainan kartu NFT baru yang dibangun di sekitar franchise Pokemon.
Mereka menawarkan kesenangan kepada pengguna bersama dengan keuntungan investasi NFT. Bersenang-senang dan mendapatkan keuntungan siapa yang tidak mau.
Dengan popularitas Pokemon dan NFT, tidak sulit bagi operator untuk menarik audiens ke situs melalui malspam, posting media sosial, dll.
Mereka yang mengklik tombol “Mainkan di PC” mengunduh file yang dapat dieksekusi yang terlihat seperti penginstal game yang sah.
Tetapi pada kenyataannya, menginstal file tersebut sama dengan memasang alat akses jarak jauh (RAT) NetSupport di sistem korban.
Operasi tersebut diungkap oleh analis, yang melaporkan bahwa ada juga situs kedua yang digunakan dalam kampanye tersebut, di “beta-pokemoncards[.]io”, tetapi saat ini telah dinonaktifkan atau offline.
Tanda-tanda aktivitas pertama kampanye ini muncul pada Desember 2022, sementara sampel sebelumnya yang diambil dari VirusTotal menunjukkan bahwa operator yang sama mendorong file Visual Studio palsu alih-alih game Pokemon.
|
Baca juga: Penipuan NFT dan Kiat Melindungi Diri |
RAT NetSupport
RAT NetSupport yang dapat dieksekusi (“client32.exe”) dan dependensinya dipasang di folder baru di jalur %APPDATA%.
Mereka diatur ke “hidden” untuk membantu menghindari deteksi dari korban yang melakukan pemeriksaan manual pada sistem file.
Selain itu, penginstal membuat entri di folder Startup Windows untuk memastikan RAT akan dijalankan saat boot sistem.
Karena RAT NetSupport (NetSupport Manager) adalah program yang sah, pelaku biasanya menggunakannya dengan harapan dapat menghindari solusi keamanan.
Pelaku sekarang dapat terhubung dari jarak jauh ke perangkat pengguna untuk mencuri data, menginstal malware lain, atau bahkan mencoba menyebar lebih jauh di jaringan.
NetSupport Manager
Meskipun NetSupport Manager adalah produk perangkat lunak yang sah, biasanya digunakan oleh pelaku sebagai bagian dari operasi mereka.
Pada tahun 2020, Microsoft memperingatkan tentang pelaku phising yang menggunakan file Excel bertema COVID-19 yang menjatuhkan RAT NetSupport ke komputer penerima.
Pada Agustus 2022, kampanye yang menargetkan situs WordPress dengan halaman perlindungan Cloudflare DDoS palsu memasang RAT NetSupport dan Raccoon Stealer pada korban.
NetSupport Manager mendukung:
- kontrol layar jarak jauh.
- Perekaman layar.
- Pemantauan sistem.
- Pengelompokan sistem jarak jauh untuk kontrol yang lebih baik.
- Dan banyak opsi konektivitas termasuk enkripsi lalu lintas jaringan.
Konsekuensi dari infeksi semacam itu meluas dan merusak, terutama terkait akses tidak sah ke data pengguna yang sensitif dan mengunduh malware lebih lanjut.
|
Baca lainnya: |
Sumber berita:
