Οι χάκερ δημιούργησαν μια ψεύτικη κοινότητα play-to-earn «Cthulhu World», συμπεριλαμβανομένων ιστοτόπων, ομάδων στο Discord, λογαριασμών social media και ενός Medium developer site, για να διανείμουν τα malware Raccoon Stealer, AsyncRAT και RedLine σε ανυποψίαστα θύματα.
Δείτε επίσης: Microsoft: Η Ιρανική ομάδα Mercury χρησιμοποιεί το Log4Shell και στοχεύει οργανισμούς στο Ισραήλ
Καθώς τα παιχνίδια play-to-earn γίνονται πιο δημοφιλή, οι απατεώνες και οι απειλητικοί παράγοντες στοχεύουν όλο και περισσότερο αυτές τις νέες πλατφόρμες για κακόβουλες δραστηριότητες.
Τέτοια είναι η περίπτωση μιας νέας καμπάνιας διανομής malware που ανακαλύφθηκε από τον ερευνητή κυβερνοασφάλειας iamdeadlyz, όπου οι απειλητικοί παράγοντες δημιούργησαν ένα ολόκληρο project για να προωθήσουν ένα ψεύτικο παιχνίδι play-to-earn, που ονομάζεται Cthulhu World.
Για να προωθήσουν το «project», οι απειλητικοί παράγοντες στέλνουν απευθείας μηνύματα στους χρήστες στο Twitter ρωτώντας αν θα ήθελαν να κάνουν μια δοκιμή του νέου τους παιχνιδιού. Σε αντάλλαγμα για τη δοκιμή και την προώθηση του παιχνιδιού, ο iamdeadlyz λέει ότι οι απειλητικοί παράγοντες υπόσχονται μια ανταμοιβή σε Ethereum.
Όταν επισκέπτονται τον ιστότοπο cthulhu-world.com, ο οποίος είναι πλέον εκτός λειτουργίας, οι χρήστες βλέπουν έναν καλά σχεδιασμένο ιστότοπο, που περιέχει πληροφορίες για το project και έναν διαδραστικό χάρτη των περιβαλλόντων του παιχνιδιού.
Ωστόσο, αυτός ο ιστότοπος φαίνεται να είναι ένας κλώνος του νόμιμου project Alchemic World, το οποίο προειδοποιεί τους χρήστες να μείνουν μακριά από το ψεύτικο project.
Ο ιστότοπος Cthulhu World έχει και μια μεγάλη διαφορά. Όταν ένας χρήστης κάνει κλικ στο βέλος στην επάνω δεξιά γωνία του ιστότοπου, ο επισκέπτης θα τον μεταφέρει σε μια ιστοσελίδα ζητώντας έναν κωδικό για τη λήψη του τεστ «alpha» του project.
Δείτε επίσης: Υποκλοπές Ελλάδα: Ερευνητές αποκαλύπτουν μαζικές παρακολουθήσεις σε τηλεπικοινωνιακούς παρόχους!
Οι απειλητικοί φορείς μοιράζονται αυτούς τους κωδικούς με τα υποψήφια θύματα ως μέρος των DM συνομιλιών τους στο Twitter. Μια λίστα με τους κωδικούς πρόσβασης βρίσκεται και στον πηγαίο κώδικα του ιστότοπου, όπως φαίνεται παρακάτω.
Ανάλογα με τον κωδικό πρόσβασης που εισάγατε, ένα από τα τρία αρχεία θα ληφθεί από το DropBox.
Καθένα από τα τρία αρχεία εγκαθιστά ένα διαφορετικό malware, επιτρέποντας πιθανότατα στους απειλητικούς παράγοντες να επιλέξουν πώς θέλουν να στοχεύσουν έναν συγκεκριμένο χρήστη. Τα τρία κακόβουλα προγράμματα που εντοπίστηκαν από τα AnyRun installs είναι το AsyncRAT, το RedLine Stealer και το Raccoon Stealer.
Ο ιστότοπος του Cthulhu World είναι προς το παρόν εκτός λειτουργίας, αλλά το Discord τους παραμένει ενεργό. Δεν είναι σαφές ποιος σε αυτό το Discord γνωρίζει ότι ο ιστότοπος διανέμει κακόβουλο λογισμικό, αλλά ορισμένοι χρήστες πιστεύουν ξεκάθαρα ότι αυτό είναι ένα νόμιμο project.
Δείτε επίσης: LockBit ransomware: Τακτική τριπλού εκβιασμού – Έρχονται και DDoS επιθέσεις
Καθώς τα RedLine Stealer και Raccoon Stealer είναι γνωστό ότι κλέβουν cryptocurrency wallets, δεν αποτελεί έκπληξη το γεγονός ότι ορισμένα θύματα έχουν ήδη “καθαρίσει” τα πορτοφόλια τους από αυτήν την απάτη.
Εάν έχετε επισκεφτεί το Cthulhu-world.com και κατεβάσατε οποιοδήποτε software του, θα πρέπει να εκτελέσετε αμέσως ένα antivirus scan στον υπολογιστή σας και να αφαιρέσετε οτιδήποτε εντοπίστηκε.
Επιπλέον, καθώς αυτές οι μολύνσεις από κακόβουλο λογισμικό κλέβουν τους αποθηκευμένους κωδικούς πρόσβασης, τα cookies και τα crypto wallets, θα πρέπει να επαναφέρετε όλους τους κωδικούς πρόσβασης και να δημιουργήσετε νέα wallets για να εισάγετε το cryptocurrency σας.
Τελικά, ωστόσο, η πιο σοφή ενέργεια είναι να κάνετε reinstall τον υπολογιστή σας από την αρχή, καθώς αυτές οι μολύνσεις από κακόβουλο λογισμικό παρέχουν πλήρη πρόσβαση σε έναν μολυσμένο υπολογιστή και άλλα μη ανιχνευμένα κακόβουλα προγράμματα ενδέχεται να είναι ακόμα εγκατεστημένα.
Πηγή πληροφοριών: bleepingcomputer.com
