Actus

Des pirates informatiques proposent un faux jeu Pokemon NFT pour s’emparer des appareils Windows

Par Philippe Ternision , le 9 janvier 2023 , mis à jour le 9 janvier 2023 - 3 minutes de lecture
pokemon
Notez l'article

Un site Web habilement conçu pour le jeu de cartes Pokemon NFT est utilisé par les acteurs de la menace pour diffuser l’outil d’accès à distance NetSupport et réquisitionner les appareils des victimes.

Le site Web “pokemon-go[.]io”, qui est toujours actif à l’heure où nous écrivons ces lignes, fait la publicité d’un tout nouveau jeu de cartes NFT basé sur la franchise Pokemon qui procure aux joueurs à la fois un plaisir stratégique et des gains d’investissement NFT.

Il ne devrait pas être difficile pour les propriétaires du portail malveillant d’attirer les utilisateurs sur le site par le biais de malspam, de messages sur les médias sociaux, etc. étant donné la popularité des Pokemon et des NFT.

Site promoting a fake Pokemon NFT game
Site faisant la promotion d’un faux jeu Pokemon NFT (BleepingComputer)

Lorsque les utilisateurs cliquent sur le bouton “Jouer sur PC”, un exécutable qui semble être un installateur de jeu légitime est en réalité installé sur l’ordinateur de la victime par NetSupport, un outil d’accès à distance.

L’opération a été découverte par les analystes de l’ASEC, qui affirment également qu’un deuxième site Web, “beta-pokemoncards[.]io”, a été utilisé dans le cadre de la campagne mais a depuis été mis hors ligne.

Les premières indications de l’activité de cette campagne sont apparues en décembre 2022, mais des échantillons précédents obtenus par VirusTotal ont révélé que les mêmes opérateurs avaient en réalité diffusé un faux fichier Visual Studio plutôt que le jeu Pokemon.

Dépôt du RAT NetSupport

L’exécutable client32.exe NetSupport RAT et ses dépendances sont installés dans un tout nouveau dossier sous le répertoire%APPDATA%. Ils sont définis comme “cachés” afin de permettre aux victimes qui inspectent manuellement le système de fichiers de les manquer plus facilement.

Dropped files and contents of the configuration file
Fichiers déposés et contenu du fichier de configuration (ASEC)

Afin de garantir l’exécution de la RAT au démarrage du système, le programme d’installation ajoute également une ligne au dossier de démarrage de Windows.

Les acteurs de la menace utilisent fréquemment le RAT NetSupport (NetSupport Manager), un outil authentique, dans l’espoir qu’il échappe aux mesures de sécurité.

NetSupport RAT interface
Interface du RAT NetSupport (ASEC)

Les auteurs de menaces sont désormais en mesure de se connecter à distance à l’appareil d’un utilisateur afin de voler des données, d’installer d’autres logiciels malveillants ou même de tenter de se propager sur le réseau.

Bien que NetSupport Manager soit un logiciel authentique, les acteurs de la menace l’utilisent fréquemment dans le cadre de leurs opérations néfastes.

En 2020, Microsoft a émis une mise en garde contre les escrocs du phishing qui utilisent des fichiers Excel avec des thèmes COVID-19 et qui installent le RAT NetSupport sur les systèmes de leurs victimes.

En août 2022, la RAT NetSupport et Raccoon Stealer ont été installés sur des victimes via une opération qui ciblait des sites WordPress avec de fausses pages de protection DDoS Cloudflare.

Le contrôle d’écran à distance, l’enregistrement d’écran, la surveillance du système, le regroupement de systèmes à distance pour un contrôle plus facile et une large gamme d’options de connectivité, y compris le cryptage du trafic réseau, sont tous pris en charge par NetSupport Manager.

Néanmoins, les effets d’une telle infection sont vastes et graves, incluant principalement l’accès illégal aux données privées des utilisateurs et le téléchargement d’autres logiciels malveillants.

 

 

  • Tripp Lite Adaptateur réseau USB 3.1 Gen 1 Type-C vers Gigabit Ethernet, 10/100/1000 Mbit/s, compatible Thunderbolt™ 3, blanc - adaptateur réseau - USB-C 3.1 - Gigabit Ethernet
    Relie un appareil USB Type-C ou Thunderbolt  3 à un réseau Ethernet filairePrend en charge des vitesses réseau complètes de 10/100/1000 Mbit/sDispose d'une fiche mâle réversible USB Type-C à une extrémitéCompatible avec les systèmes d'exploitation Windows, MAC, Linux et ChromiumPlug and Play : ni pilote ni source d'alimentation externe nécessaire L'adaptateur réseau USB 3.1 Gen 1 Type-C vers Gigabit Ethernet NIC U436-06N-GBW permet de connecter les ordinateurs, ordinateurs portables et Ultrabooks sans NIC (Network Interface Controller) dotés d'un port USB Type-C ou Thunderbolt 3 à un réseau ou à Internet grâce à un câble Ethernet.<br/>C'est un moyen plus pratique et moins coûteux de se connecter au réseau que d'ouvrir l'appareil et d'installer une carte Ethernet à l'intérieur.<br/>Connectez le connecteur USB-C de l'adaptateur au port USB-C ou Thunderbolt 3 de votre appareil et connectez le port RJ45 de l'adaptateur à votre câble réseau ou Ethernet.<br/>Il suffit d'utiliser la fonction Plug and Play, ni pilote ni source d'alimentation externe nécessaire.<br/>Il est compact et léger pour être facilement transporté dans votre sacoche d'ordinateur.<br/><br/>L'adaptateur USB 3.1 Gen 1 prend en charge la pleine vitesse d'un réseau 10/100/1000 Mbit/s, ce qui vous permet de transférer beaucoup de données rapidement et de diffuser de l'audio et de la vidéo.<br/>Contrairement aux câbles USB classiques qui ne peuvent se fixer que dans un sens, le connecteur mâle réversible USB Type-C se branche dans un port USB ou Thunderbolt 3 dans un sens ou dans l'autre pour assurer une connexion rapide sans tâtonnement à chaque fois.<br/>Conforme aux normes IEEE 802.3, 802.3u, 802.3ab et 802.3az.<br/>Prend en charge l'auto-détection 10/100/1000, la détection croisée de paires torsadées, l'auto-correction et la gestion d'alimentation Wake-on-LAN.<br/>Compatible avec les systèmes d'exploitation Windows, MAC, Linux et Chromium.<br/>Rétrocompatible avec les précédentes versions USB. - Offre exclusivement réservée aux professionnels
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.