Malware disfarçado como jogo de Pokémon rouba controle de computadores Windows

Um grupo de cibercriminosos criou um site enganoso que promete um jogo de Pokémon baseado em NFTs. Porém, na verdade, trata-se de uma estratégia para disseminar malware entre os usuários que caem na isca.

A página finge oferecer um card game baseado na famosa franquia da Nintendo, além de possíveis retornos financeiros, já que se trata de NFTs. No entanto, ao acessar o site, o usuário corre o risco de ter uma ferramenta de acesso remoto NetSupport instalada em seu computador. Isso permite aos criminosos tomar controle do computador infectado.

Leia também
O que é malware? Conheça os tipos mais comuns
Site usa Inteligência Artificial para transformar personagens em Pokémons

Site fazia menção ao Pokémon Go

Os hackers estão tentando enganar fãs e jogadores de Pokémon Go ao criar um site que se aproveita da popularidade do jogo de cartas e do título para celulares. No site, eles oferecem atividades como conferir coleções, aprender a jogar e comprar pacotes de tokens. Tudo isso fazendo menções ao Pokémon Go para chamar a atenção.

No entanto, ao clicar no botão “Play on PC“, o usuário faz o download e instala uma ferramenta de acesso remoto (conhecida como RAT). Ao instalar o RAT, o usuário, sem saber, permite que os criminosos tenham acesso total ao computador.

Eles podem roubar dados, instalar outros malwares e disseminar ainda mais o programa. A descoberta foi feita por um analista do ASEC, que também encontrou outro site falso de cards Pokémon, mas que já estava fora do ar. É importante tomar cuidado ao navegar na internet e evitar acessar sites suspeitos ou desconhecidos.

pokemon site malware 696x700 1.webp?fm=pjpg&ixlib=php 3.3

Método de infecção

Para que o computador da vítima seja infectado, ele precisa baixar o suposto jogo e instalar no PC. Na verdade, ele está instalando o NetSupport RAT (client32.exe). Acontece que ele é instalado no caminho %APPDATA% e colocado como oculto. Dessa forma, fica muito difícil para qualquer software de segurança detectar a ameaça.

Além disso, vale lembrar que o NetSupport é um programa legítimo para acesso remoto. Então o Windows não vai encará-lo como uma ameaça de qualquer forma.

Mas para piorar ainda mais a situação, o instalar do NetSupport RAT cria uma entrada na pasta Windows Setup. Assim, sempre que o sistema é inicializado, o NetSupport RAT é iniciado junto. A partir desse ponto, os cibercriminosos podem acessar o seu computador na hora que quiserem.

Site falso já foi tirado do ar

netsupport rat pokemon.webp?fm=pjpg&ixlib=php 3.3

No momento de publicação desta matéria, o mencionado site falso (pokemon-go[.]io) já está fora do ar. Mas é provável que ele tenha feito muitas vítimas. Os primeiros relatos das vítimas começaram a surgir ainda no dia 22 de dezembro de 2022. Ainda mais levando em consideração a popularidade da franquia da Nintendo.

Ao que parece também, os cibercriminosos mudam a isca de tempos em tempos. Antes do Pokémon Go eles usavam um site falso do Visual Studio. Então, sempre que uma página falsa cai ou é tirada do ar, eles mudam a “isca” para alguma outra coisa popular.

Usar a franquia Pokémon como chamariz parece ser uma ótima ideia. Já que os “monstrinhos de bolso” são famosos tanto entre adultos quanto entre crianças. Assim, a chance de usuários leigos acessarem o site é enorme. E a ânsia de baixar o jogo pode fazer com que os usuários mais desatentos instalem o malware em seus próprios computadores.

Portanto, fica a dica: não confie em qualquer site. Verifique se o domínio é mesmo da empresa dona dos direitos da franquia. E só baixe qualquer tipo de conteúdo das páginas oficiais. Isso diminui os riscos de você baixar e instalar qualquer tipo de vírus ou aplicativo malicioso.

Fonte: Bleeping Computer

Postado por
Siga em:
Compartilhe
Deixe seu comentário
Veja também
Publicações Relacionadas
Img de rastreio
Localize algo no site!