Tehdit aktörleri, NetSupport uzaktan erişim aracını dağıtmak ve kurbanların cihazlarının kontrolünü ele geçirmek için iyi hazırlanmış bir Pokemon NFT kart oyunu web sitesini kullanıyor.
web sitesi “pokemon-go[.]Bu makalenin yazıldığı sırada hala çevrimiçi olan “io”, Pokemon franchise’ı etrafında inşa edilmiş yeni bir NFT kart oyununa ev sahipliği yaptığını iddia ediyor ve kullanıcılara NFT yatırım kârlarıyla birlikte stratejik eğlence sunuyor.
Hem Pokemon’un hem de NFT’lerin popülaritesi göz önüne alındığında, kötü amaçlı portalın operatörlerinin malspam, sosyal medya gönderileri vb.
“PC’de Oynat” düğmesine tıklayanlar, yasal bir oyun yükleyici gibi görünen ancak gerçekte kurbanın sistemine NetSupport uzaktan erişim aracını (RAT) yükleyen yürütülebilir bir dosya indirir.
Operasyon, “beta-pokemoncards” adlı kampanyada kullanılan ikinci bir sitenin de olduğunu bildiren ASEC analistleri tarafından ortaya çıkarıldı.[.]io”, ancak o zamandan beri çevrimdışı duruma getirildi.
Bu kampanyanın ilk faaliyet belirtileri Aralık 2022’de ortaya çıkarken, VirusTotal’dan alınan önceki örnekler aynı operatörlerin Pokemon oyunu yerine sahte bir Visual Studio dosyası aktardığını gösterdi.
NetSupport RAT’ı Bırakma
NetSupport RAT yürütülebilir dosyası (“client32.exe”) ve bağımlılıkları, %APPDATA% yolundaki yeni bir klasöre kurulur. Dosya sisteminde manuel incelemeler yapan kurbanlardan tespit edilmekten kaçınmaya yardımcı olmak için “gizli” olarak ayarlanırlar.
Ayrıca yükleyici, RAT’ın sistem önyüklemesi sırasında çalışmasını sağlamak için Windows Başlangıç klasöründe bir giriş oluşturur.
NetSupport RAT (NetSupport Manager) meşru bir program olduğundan, tehdit aktörleri onu genellikle güvenlik yazılımlarından kaçacağı umuduyla kullanır.
Tehdit aktörleri artık verileri çalmak, başka kötü amaçlı yazılım yüklemek ve hatta ağda daha fazla yayılmaya çalışmak için bir kullanıcının cihazına uzaktan bağlanabilir.
NetSupport Manager meşru bir yazılım ürünü olsa da, genellikle tehdit aktörleri tarafından kötü niyetli kampanyalarının bir parçası olarak kullanılır.
2020’de Microsoft, alıcıların bilgisayarlarına NetSupport RAT bırakan COVID-19 temalı Excel dosyalarını kullanan kimlik avı yapan aktörler hakkında uyarıda bulundu.
Ağustos 2022’de, sahte Cloudflare DDoS koruma sayfalarına sahip WordPress sitelerini hedef alan bir kampanya, kurbanlara NetSupport RAT ve Raccoon Stealer yükledi.
NetSupport Manager, uzaktan ekran kontrolünü, ekran kaydını, sistem izlemeyi, daha iyi kontrol için uzaktan sistem gruplandırmayı ve ağ trafiği şifreleme dahil pek çok bağlantı seçeneğini destekler.
Bununla birlikte, bu tür bir bulaşmanın sonuçları, esas olarak hassas kullanıcı verilerine yetkisiz erişim ve daha fazla kötü amaçlı yazılım indirme ile ilgili olarak geniş ve ciddidir.