Um grupo de cibercriminosos criou um site enganoso que promete um jogo de Pokémon baseado em NFTs. Porém, na verdade, trata-se de uma estratégia para disseminar malware entre os usuários que caem na isca.
A página finge oferecer um card game baseado na famosa franquia da Nintendo, além de possíveis retornos financeiros, já que se trata de NFTs. No entanto, ao acessar o site, o usuário corre o risco de ter uma ferramenta de acesso remoto NetSupport instalada em seu computador. Isso permite aos criminosos tomar controle do computador infectado.
Leia também
O que é malware? Conheça os tipos mais comuns
Site usa Inteligência Artificial para transformar personagens em Pokémons
Site fazia menção ao Pokémon Go
Os hackers estão tentando enganar fãs e jogadores de Pokémon Go ao criar um site que se aproveita da popularidade do jogo de cartas e do título para celulares. No site, eles oferecem atividades como conferir coleções, aprender a jogar e comprar pacotes de tokens. Tudo isso fazendo menções ao Pokémon Go para chamar a atenção.
No entanto, ao clicar no botão “Play on PC“, o usuário faz o download e instala uma ferramenta de acesso remoto (conhecida como RAT). Ao instalar o RAT, o usuário, sem saber, permite que os criminosos tenham acesso total ao computador.
Eles podem roubar dados, instalar outros malwares e disseminar ainda mais o programa. A descoberta foi feita por um analista do ASEC, que também encontrou outro site falso de cards Pokémon, mas que já estava fora do ar. É importante tomar cuidado ao navegar na internet e evitar acessar sites suspeitos ou desconhecidos.
Método de infecção
Para que o computador da vítima seja infectado, ele precisa baixar o suposto jogo e instalar no PC. Na verdade, ele está instalando o NetSupport RAT (client32.exe). Acontece que ele é instalado no caminho %APPDATA% e colocado como oculto. Dessa forma, fica muito difícil para qualquer software de segurança detectar a ameaça.
Além disso, vale lembrar que o NetSupport é um programa legítimo para acesso remoto. Então o Windows não vai encará-lo como uma ameaça de qualquer forma.
Mas para piorar ainda mais a situação, o instalar do NetSupport RAT cria uma entrada na pasta Windows Setup. Assim, sempre que o sistema é inicializado, o NetSupport RAT é iniciado junto. A partir desse ponto, os cibercriminosos podem acessar o seu computador na hora que quiserem.
Site falso já foi tirado do ar
No momento de publicação desta matéria, o mencionado site falso (pokemon-go[.]io) já está fora do ar. Mas é provável que ele tenha feito muitas vítimas. Os primeiros relatos das vítimas começaram a surgir ainda no dia 22 de dezembro de 2022. Ainda mais levando em consideração a popularidade da franquia da Nintendo.
Ao que parece também, os cibercriminosos mudam a isca de tempos em tempos. Antes do Pokémon Go eles usavam um site falso do Visual Studio. Então, sempre que uma página falsa cai ou é tirada do ar, eles mudam a “isca” para alguma outra coisa popular.
Usar a franquia Pokémon como chamariz parece ser uma ótima ideia. Já que os “monstrinhos de bolso” são famosos tanto entre adultos quanto entre crianças. Assim, a chance de usuários leigos acessarem o site é enorme. E a ânsia de baixar o jogo pode fazer com que os usuários mais desatentos instalem o malware em seus próprios computadores.
Portanto, fica a dica: não confie em qualquer site. Verifique se o domínio é mesmo da empresa dona dos direitos da franquia. E só baixe qualquer tipo de conteúdo das páginas oficiais. Isso diminui os riscos de você baixar e instalar qualquer tipo de vírus ou aplicativo malicioso.
Fonte: Bleeping Computer