Berikut adalah website Game Card Pokemon Palsu yang dilaporkan dari ASEC:
- pokemon-go[.]io/
- beta-pokemoncards[.]io/
Pelaku ancaman menggunakan situs web permainan Pokemon NFT card yang dibuat untuk mendistribusikan alat akses jarak jauh yaitu NetSupport dan mengambil kendali atas perangkat korban.
NetSupport Manager adalah perangkat lunak kendali jarak jauh lintas-platform, yang memungkinkan remote screen control dan manajemen sistem dari perangkat Windows atau Windows Mobile dari perangkat Windows, Mac, Linux, Solaris, dan Seluler.
Situs web "pokemon-go[.]io," pada saat masih online, mengaku sebagai host resmi bagi permainan NFT card baru yang dibangun di sekitar franchise Pokemon, menawarkan permainan strategis kepada pengguna bersama dengan keuntungan investasi NFT.
Menggunakan popularitas Pokemon dan NFT, membuat operator portal jahat mudah untuk menarik audiens ke situs melalui malspam, posting media sosial, dan cara lainnya. File yang di-download memiliki ikon dan informasi versi yang disamarkan, membuat pengguna mengira ini sebagai program game resmi dan menjalankannya.
Mereka yang mengklik tombol "Mainkan di PC" mengunduh file yang dapat dieksekusi yang terlihat seperti penginstal game resmi. Tetapi, pada kenyataannya, menginstal remote access tool (RAT) NetSupport di sistem korban. Malware menyamar sebagai game card Pokemon.
Proses Melumpuhkan RAT NetSupport
- NetSupport RAT yang dapat dieksekusi ("client32.exe") dan dependensinya dipasang di folder baru di jalur %APPDATA%.
- Diatur menjadi "tersembunyi" untuk membantu menghindari deteksi dari korban yang melakukan pemeriksaan manual pada sistem file.
 |
| Proses Tree NetSupport RAT |
- Membuat entri di folder Startup Windows untuk memastikan RAT akan dijalankan saat boot sistem.
- Karena NetSupport RAT (NetSupport Manager) adalah program yang sah, pelaku ancaman biasanya menggunakannya dengan harapan dapat menghindari perangkat lunak keamanan.
Pelaku jahat sekarang dapat terhubung dari jarak jauh ke perangkat pengguna untuk mencuri data, menginstal malware lain, atau bahkan mencoba menyebar lebih jauh di jaringan.
 |
| Paket data NetSupport RAT |
- NetSupport RAT dropper menyamar sebagai library bawaan dari Visual Studio.
 |
- NetSupport RAT dipasang di jalur %APPDATA%\Developer\.
Dari sini, kita dapat menyimpulkan bahwa pelaku ancaman menggunakan program normal selain game Pokemon untuk mendistribusikan malware.
Ada juga tipe yang membuat file "csvs.exe" yang disamarkan sebagai program Windows biasa, svchost.exe, akibat dari menginstal klien NetSupport, "client32.exe" di direktori instalasi.
 |
| client32.exe telah dimodifikasi |
Sumber analisa ASEC juga melaporkan bahwa NetSupport RAT baru-baru ini didistribusikan melalui email spam yang disamarkan sebagai faktur, dokumen pengiriman, dan pesanan pembelian.
Selain itu, ada juga kasus di mana pengguna dituntun untuk menginstal malware itu sendiri dari halaman phishing yang disamarkan sebagai halaman pembaruan untuk perangkat lunak bernama "SocGholish".
Saat NetSupport RAT diinstal, pelaku ancaman dapat memperoleh kendali atas sistem yang terinfeksi. Fitur yang didukung oleh NetSupport secara default tidak hanya mencakup kontrol layar jarak jauh tetapi juga fitur kontrol sistem seperti:
- Screenshot
- Berbagi clipboard
- Mengumpulkan informasi riwayat web
- Manajemen file
- Eksekusi perintah
Artinya, pelaku ancaman dapat melakukan berbagai perilaku jahat seperti memeras kredensial pengguna dan memasang malware tambahan.
Ketika terinfeksi malware kendali jarak jauh tersebut, sistem akan diambil alih dan menjadi sasaran kerusakan seperti pemerasan informasi dan instalasi malware tambahan.
Pencegahan
- Saat install software, disarankan untuk membeli atau mengunduhnya dari situs web resmi dan tidak membuka lampiran di email yang mencurigakan.
- Menerapkan update patch terbaru untuk OS dan browser internet mereka dan memperbarui ke versi terbarunya untuk mencegah infeksi malware terlebih dahulu.
Untuk memahami cara kerja penyebaran malware dan phising, berikut adalah referensi-referensi terkait yang dapat dipelajari:
- Apa itu spam?
- Cara melindungi dari serangan phishing
- Mencegah dan Membatasi Dampak Ransomware
- Apakah Ransomware Masih Menjadi Ancaman?
- Varian Baru Ransomware: Agenda
Konsekuensi dari infeksi semacam itu luas dan parah, terutama terkait akses tidak sah ke data pengguna yang sensitif dan mengunduh malware lebih lanjut.
