據悉，一個假冒的Pixelmon NFT網站正用免費代幣和收藏品吸引粉絲，并用竊取加密貨幣錢包的惡意軟件對其進行感染。

Pixelmon是一個熱門的NFT項目，它的目標包括創建一個元宇宙游戲，用戶可以在其中使用Pixelmon寵物進行收集、訓練以及與其他玩家戰斗。該項目在Twitter上有近20萬名粉絲和超過2.5萬名Discord成員，引起了廣泛的關注。

冒充Pixelmon項目

為了利用這種興趣，威脅參與者復制了合法的pixelmon.club網站，并在pixelmon[.]pw上創建了一個虛假版本來分發惡意軟件。

該惡意站點幾乎是合法站點的復制品，它提供在設備上安裝密碼竊取惡意軟件的可執行文件，而不是該項目的游戲演示。

假的Pixelmon網站

該網站提供了一個名為Installer.zip的文件，其中包含一個看似已損壞且不會以任何惡意軟件感染用戶的可執行文件。

然而， 首先發現這個惡意站點的MalwareHunterTeam還發現了該站點分發的其他惡意文件。

此惡意站點分發的文件之一是setup.zip，其中包含setup.lnk文件。Setup.lnk是一個Windows快捷方式，它將執行PowerShell命令以從pixelmon[.]pw下載system32.hta文件。

Setup.lnk內容

在測試這些惡意有效載荷時，System32.hta文件下載了Vidar，這是一種密碼竊取惡意軟件，不像過去那樣常用。 安全研究員Fumik0_證實了這一點 ，他之前曾分析過這個惡意軟件家族。

在執行時，威脅參與者的Vidar樣本將連接到Telegram頻道并檢索惡意軟件命令和控制服務器的IP地址。

包含C2 IP地址的Telegram頻道

惡意軟件從C2中檢索配置命令，并下載更多模塊，用于從受感染設備中竊取數據。

Vidar惡意軟件可以從瀏覽器和應用程序中竊取密碼，并在計算機中搜索與特定名稱匹配的文件，然后將這些文件上傳給威脅參與者。

從下面的惡意軟件配置中可以看出，C2指示惡意軟件搜索和竊取各種文件，包括文本文件、加密貨幣錢包、備份、代碼、密碼文件和身份驗證文件。

從C2服務器檢索的配置命令

這是一個NFT網站，預計訪問者將在其計算機上安裝加密貨幣錢包，因此，威脅參與者強調搜索和竊取與加密貨幣相關的文件。

雖然該站點目前沒有分發有效的有效載荷，但已有證據表明威脅參與者在過去幾天繼續修改該站點，因為兩天前可用的有效載荷已經不復存在。憑借該網站上的活動可以預計，此活動將繼續活躍，并且威脅會很快增加。

隨著NFT項目被旨在竊取加密貨幣的騙局所淹沒，用戶應該再三檢查正在訪問的URL是否與感興趣的項目相關。 此外，在未使用防病毒軟件或使用VirusTotal進行掃描之前，切勿執行來自未知網站的任何可執行文件。

繼美國之后，歐盟推出關鍵領域網絡安全新立法

2022.05.16

E周觀察-安全威脅情報（2022.5.8~5.13）

202 2.05.14

游戲巨頭暴雪再遭DDoS攻擊，多款熱門游戲掉線

2022 .05.13