Pixelmon是一個(gè)熱門的NFT項(xiàng)目，旨在創(chuàng)建一個(gè)元宇宙游戲，用戶可以在其中收集、訓(xùn)練Pixelmon寵物，并與其他玩家進(jìn)行戰(zhàn)斗。該項(xiàng)目在Twitter上有近20萬名粉絲和超過2.5萬名Discord成員，引起了廣泛關(guān)注。

為了利用這一興趣，威脅參與者復(fù)制了合法的pixelmon.club網(wǎng)站，并在pixelmon[.]pw上創(chuàng)建了一個(gè)虛假版本來分發(fā)惡意軟件。

這個(gè)惡意站點(diǎn)幾乎與合法站點(diǎn)完全相同，但它提供的不是該項(xiàng)目的游戲演示，而是一個(gè)在設(shè)備上安裝密碼竊取惡意軟件的可執(zhí)行文件。

該網(wǎng)站提供了一個(gè)名為Installer.zip的文件，其中包含一個(gè)看似已損壞且不會(huì)以任何惡意軟件感染用戶的可執(zhí)行文件。

然而，發(fā)現(xiàn)這個(gè)惡意站點(diǎn)的MalwareHunterTeam還發(fā)現(xiàn)了該站點(diǎn)分發(fā)的其他惡意文件。

其中一個(gè)惡意文件是setup.zip，里面包含setup.lnk文件。Setup.lnk是一個(gè)Windows快捷方式，它將執(zhí)行PowerShell命令以下載pixelmon[.]pw上的system32.hta文件。

測(cè)試這些惡意有效載荷時(shí)，System32.hta文件下載了一種名為Vidar的密碼竊取惡意軟件，它在過去并不常見。安全研究員Fumik0_證實(shí)了這一點(diǎn)，他以前曾分析過這個(gè)惡意軟件家族。

在執(zhí)行時(shí)，威脅參與者的Vidar樣本將連接到Telegram頻道，并檢索惡意軟件命令和控制服務(wù)器的IP地址。

惡意軟件從C2中檢索配置命令，并下載更多模塊，用于從受感染設(shè)備中竊取數(shù)據(jù)。

Vidar惡意軟件可以從瀏覽器和應(yīng)用程序中竊取密碼，并在計(jì)算機(jī)中搜索與特定名稱匹配的文件，然后將這些文件上傳給威脅參與者。

從惡意軟件配置中可以看出，C2指示惡意軟件搜索和竊取各種文件，包括文本文件、加密貨幣錢包、備份、代碼、密碼文件和身份驗(yàn)證文件。

考慮到這是一個(gè)NFT網(wǎng)站，預(yù)計(jì)訪問者會(huì)在自己的計(jì)算機(jī)上安裝加密貨幣錢包，因此威脅參與者強(qiáng)調(diào)搜索和竊取與加密貨幣相關(guān)的文件。

盡管該站點(diǎn)目前沒有分發(fā)有效的惡意載荷，但證據(jù)表明威脅參與者會(huì)持續(xù)修改該站點(diǎn)，因?yàn)閮商烨按嬖诘挠行лd荷已經(jīng)消失。鑒于該網(wǎng)站的活動(dòng)，可以預(yù)計(jì)此活動(dòng)將繼續(xù)存在并且威脅會(huì)很快增加。

隨著NFT項(xiàng)目被旨在竊取加密貨幣的騙局所淹沒，用戶應(yīng)該再三確認(rèn)正在訪問的URL是否與感興趣的項(xiàng)目相關(guān)。此外，在未使用防病毒軟件或使用VirusTotal進(jìn)行掃描之前，切勿執(zhí)行來自未知網(wǎng)站的任何可執(zhí)行文件。

熱點(diǎn)：NFT nft網(wǎng) nft網(wǎng)站 pi 代幣 項(xiàng)目