Hamis Pixelmon NFT weboldal
Egy hamis Pixelmon NFT weboldal ingyenes tokenekkel és gyűjthető tárgyakkal csábítja a rajongókat, miközben megfertőzi őket rosszindulatú programokkal, amelyek ellopják a kriptovaluta pénztárcájukat.
A kampány szereplői lemásolták a legális pixelmon.club webhelyet, és létrehoztak egy hamis verziót a pixelmon[.]pw címen a rosszindulatú programok terjesztésére. Az eredeti oldal közel 200 000 Twitter követővel és több mint 25 000 Discord-taggal rendelkezik, ezért elég nagy volt az érdeklődés az olcsóbb, ingyenes termékekre.
Mivel NFT-ről van szó elvárás, hogy a látogatók számítógépére kriptovaluta pénztárcát telepítsenek. Emiatt a fenyegetés szereplői a kriptovalutákkal kapcsolatos fájlok felkutatását és ellopását helyezik előtérbe. A Vidar jelszólopó kártevővel jelszavakat lophat a böngészőkből és alkalmazásokból, és egy számítógépen kereshet bizonyos neveknek megfelelő fájlokat, amelyeket aztán feltölt a fenyegető szereplőhöz. Amint az az alábbi malware-konfigurációból is látható, a C2 arra utasítja a malwaret, hogy keressen és lopjon el különféle fájlokat, köztük a szöveges fájlokat, kriptovaluta pénztárcákat, biztonsági másolatokat, kódokat, jelszófájlokat és hitelesítési fájlokat.