偽造的 Pixelmon NFT 網站,會植入密碼竊取惡意軟體
- 發布單位:TWCERT/CC
- 更新日期:2022-05-19
- 點閱次數:252
資安團體 MalwareHunterTeam 近來發現有一個偽造的 Pixelmon NFT 網站,以投放免費加密貨幣與 NFT 收藏品為餌,誘使用戶連入後,再植入會竊取用戶密碼的惡意軟體,以竊取用戶加密貨幣錢包中的資產。
Pixelmon 是一個相當受到歡迎的 NFT 專案,其開發目標是要創造一個多人共同使用的線上 metaverse 遊戲,玩家可在內收集、訓練 Pixelmon 寵物,並且與其他玩家對戰。
該專案的 Twitter 追蹤者有 20 萬人以上,Discord 頻道也有 25,000 位以上社群成員,因此有相當多的相關用戶。
目前身分仍然不明的駭侵者,基本上複製了 Pixelmon 的網站,架設另一個幾可亂真的詐騙網站,並且提供遊戲下載連結;但用戶下載到的可執行檔,內部含有惡意軟體 PowerShell 指令碼;用戶執行該指令碼後,就會從駭侵者架設的詐騙網站內,下載一個叫做 system32.hta 的檔案,接著會在用戶的系統上安裝一個 Vidar 惡意軟體。
Vidar 在執行後,又會連到一個 Telegram 頻道;Vidar 會自此頻道取得惡意軟體指令與控制伺服器網址,接著進一步下載更多惡意軟體模組,用來竊取受害裝置上的資訊,包括受害者電腦上的加密貨幣錢包登入帳密。
建議用戶收到任何號稱提供高額贈品或獎金的網站連結時,應先多加確認該網址確實是官方網址,勿直接點按連入;下載任何軟體安裝之前,也應先透過防毒防駭軟體掃瞄無異常,才進行安裝。