Pixelmon NFT: un falso sito ruba le password con un malware

MalwareHunterTeam ha scoperto l’esistenza di un falso sito di Pixelmon NFT che attira i giocatori con token gratuiti e oggetti da collezione allo scopo di installare un malware capace di rubare dai loro portafogli di criptovalute.

Per sfruttare l’interesse attorno questo popolare progetto NFT, gli autori dell’attacco hanno copiato il sito web legittimo pixelmon.club, creandone una versione falsa quasi identica in tutto. Infatti, invece di offrire di una demo del progetto, vengono fatti scaricare degli eseguibili che installano malware in grado di rubare le password memorizzate nel dispositivo.

Si tratta di un genere di attacco sempre più diffuso, specialmente in ambito NFT, che richiama l’attenzione volta a dotarsi di un sistema antivirus sempre pronto a difenderci da ogni attacco online.

Come funziona il falso sito Pixelmon NFT e come avviene l’attacco

La copia fraudolenta del sito ufficiale di pixelmon.club permette di scaricare un file chiamato “Installer.zip” che, sebbene appaia come corrotto, non sembra infettare i dispositivi degli utenti con alcun malware. Tuttavia, un altro archivio distribuito dal sito, “setup.zip“, contiene il file “setup.Ink“, un collegamento di Windows che esegue un comando PowerShell per scaricare un file system32.hta da pixelmon[.]pw.

BleepingComputer.com ha pubblicato un’approfondita analisi in tal senso, scoprendo che il file in questione scarica Vidar, un malware utilizzato per il furto di password. Una volta eseguito, il virus si connette a un canale Telegram per recuperare l’indirizzo IP di un server di controllo e di comando di Vidar.

Quindi, viene recuperato anche un comando di configurazione dal C2 che scarica altri moduli da sfruttare per rubare dati dal dispositivo infetto. Il malware Vidar diventa capace di rubare password da browser e applicazioni, oltre a cercare file che corrispondono a nomi specifici. In questo caso, l’obiettivo erano file di testo, portafogli di criptovaluta, backup, codici, password e login.

Dato che l’attacco avviene tramite un sito NFT, gli attaccanti contano sul fatto che le vittime abbiano dei portafogli di criptovalute installati nel loro PC ed enfatizzano la ricerca in quel senso.

L’attività del sito, spiega BleepingComputer, è ancora in funzione con gli autori dell’attacco che presto aggiungeranno altre tipologie di minacce. Un monito per chi fa uso di NFT di fare sempre attenzione con tutti i progetti che riguardano il mondo cripto e di pensarci bene prima di fidarsi in tutto e per tutto del sito web che si sta visitando. La scansione con un prodotto antivirus come Norton può metterci al riparo da eventuali truffe.