Nft

El sitio falso Pixelmon NFT lo infecta con malware para robar contraseñas

Pixelmon

Un sitio falso de Pixelmon NFT atrae a los fanáticos con tokens y coleccionables gratuitos mientras los infecta con malware que roba sus billeteras de criptomonedas.

Pixelmon es un popular proyecto NFT cuya hoja de ruta incluye la creación de un juego de metaverso en línea donde puedes recolectar, entrenar y luchar contra otros jugadores usando mascotas pixelmon.

Con cerca de 200 000 seguidores en Twitter y más de 25 000 miembros de Discord, el proyecto ha despertado mucho interés.

Haciéndose pasar por el proyecto Pixelmon

Para aprovechar este interés, los actores de amenazas copiaron el sitio web legítimo pixelmon.club y crearon una versión falsa en pixelmon.[.]pw para distribuir malware.

Este sitio es casi una réplica del sitio legítimo, pero en lugar de ofrecer una demostración del juego del proyecto, el sitio malicioso ofrece ejecutables que instalan malware para robar contraseñas en un dispositivo.

Sitio web falso de Pixelmon
Sitio web falso de Pixelmon
Fuente: BleepingComputer

El sitio ofrece un archivo llamado Installer.zip que contiene un ejecutable que parece estar corrupto y no infecta a los usuarios con ningún malware.

Sin embargo, MalwareHunterTeam, que descubierto por primera vez este sitio malicioso, encontró otros archivos maliciosos distribuidos por el sitio que nos permitieron ver qué malware estaba propagando.

Uno de los archivos distribuidos por este sitio malicioso es setup.zip, que contiene el archivo setup.lnk. Setup.lnk es un acceso directo de Windows que ejecutará un comando de PowerShell para descargar un archivo system32.hta de pixelmon[.]pw.

Contenido de Setup.lnk
Contenido de Setup.lnk
Fuente: BleepingComputer

Cuando BleepingComputer probó estas cargas maliciosas, el archivo System32.hta descargó Vidar, un malware para robar contraseñas que no se usa con tanta frecuencia como en el pasado. Esto fue confirmado por el investigador de seguridad. fumik0_que ha analizado previamente esta familia de malware.

Cuando se ejecuta, la muestra Vidar del actor de amenazas se conectará a un canal de Telegram y recuperará la dirección IP del servidor de comando y control de un malware.

Canal de Telegram que contiene la dirección IP C2
Canal de Telegram que contiene la dirección IP C2
Fuente: BleepingComputer

Luego, el malware recuperará un comando de configuración del C2 y descargará más módulos que se utilizarán para robar datos del dispositivo infectado.

El malware Vidar puede robar contraseñas de navegadores y aplicaciones y buscar en una computadora archivos que coincidan con nombres específicos, que luego se cargan al actor de amenazas.

Como puede ver en la configuración de malware a continuación, el C2 le indica al malware que busque y robe varios archivos, incluidos archivos de texto, billeteras de criptomonedas, copias de seguridad, códigos, archivos de contraseña y archivos de autenticación.

Comandos de configuración recuperados del servidor C2
Comandos de configuración recuperados del servidor C2
Fuente: BleepingComputer

Como este es un sitio NFT, la expectativa es que los visitantes tengan billeteras de criptomonedas instaladas en sus computadoras. Debido a esto, los actores de amenazas enfatizan la búsqueda y el robo de archivos relacionados con la criptomoneda.

Si bien el sitio actualmente no está distribuyendo una carga útil funcional, BleepingComputer ha visto evidencia de que los actores de amenazas continúan modificando el sitio en los últimos días, ya que las cargas útiles que estaban disponibles hace dos días ya no están presentes.

Debido a la actividad en el sitio, podemos esperar que esta campaña continúe activa y que pronto se agreguen amenazas de trabajo.

Dado que los proyectos de NFT se ven abrumados por estafas diseñadas para robar su criptomoneda, siempre debe verificar tres veces que la URL que está visitando esté, de hecho, relacionada con el proyecto que le interesa.

Además, nunca ejecute ningún ejecutable de sitios web desconocidos sin antes escanearlos con un software antivirus o usar VirusTotal.