A Pokémon Go pár évvel ezelőtti elsöprő sikere óta tudjuk, hogy a Nintendo videójátékaiból ismert anime stílusú szörcsekék iránt töretlen a lelkesedés. Biztos, ami biztos, minderre még rádobták az NFT varázsszót is azok a csalók, akik pokémonos digitális kártyajátéknak álcázva telepítettek teljes hozzáférést biztosító szoftvert a gyanútlan áldozatok gépére.

Minderről a biztonsági témákkal, elemzésekkel foglalkozó ASEC blog szakemberei számoltak be. A kiberbűnözők a nyilvánosságra kerülés óta már nem működő pokemon-go[.]io cím alatt egy meglehetősen összetett weboldalt hoztak létre, amely egy pokémonos digitális kártyajátékkal kapcsolatos információkat tartalmazott. A windowsos PC-kre letöltendő exe azonban nem anime figurákkal, hanem az egyébként legális tevékenységre (is) használt NetSupport telepítésével "örvendeztette meg" az óvatlan felhasználót.

Az álcázott futtatható fájl még csinos pokémonos logót is kapott (forrás: ASEC)

A NetSupport távoli hozzáférést biztosító eszköz (remote access tool), amely önmagában egyáltalán nem minősül malware-nek, így a letöltés miatt jellemzően a vírusirtók és egyéb védelmi rendszerek sem állnak riadó üzemmódba. A rosszindulatú elkövetők igyekeztek a programot a lehető legjobban elrejteni. A futtatásához szükséges állományok például egy alapesetben rejtett könyvtárba kerülnek, miközben úgy kalibrálják a beállításokat, hogy a NetSupport a gépindításkor automatikusan aktivizálja magát.

A futó program segítségével pedig gyakorlatilag bármire használható az áldozat rendszere: az adatlopástól az egyéb, aktívan kártékony programok telepítésétől egészen a számítógéppel kapcsolatban lévő hálózatok kompromittálásáig. 

Máskor és máshogy is bevetik

A biztonsági kutatók jelentése arra is figyelmeztet, hogy a most részletezett, tavaly decemberben indult csalási kampány elemei felismerhetők más akcióknál is. Az adatok alapján ugyenezen elkövetői kör áll egy hasonló csalás mögött is, amely során a Visual Studio letölthető változatának álcázzák a NetSupport Managert.

A távoli hozzáférést biztosító programok hekkerek általi használata egészen általánossá vált az utóbbi időben. A Microsoft például már 2020-ban kiadott egy figyelmeztetést, mert adathalászok koronavírus témájú Excel-fájlokat használtak arra, hogy hozzáférést szerezzenek az egészségügyi információkra éhes gyanútlan felhasználók gépeihez.