La supercherie a été découverte par des analystes d'ASEC. Le jeu en question n'est en réalité qu'un moyen d'hameçonner de potentielles victimes pour faire entrer en scène l'outil d'accès à distance NetSupport, visant à corrompre profondément les appareils infectés.
La Team Rocket se réinvente
La popularité de la franchise Pokémon n'est plus à prouver, alors que chaque nouveau jeu s'arrache par millions d'exemplaires. Trois acteurs ont ainsi eu l'idée d'appâter cette large audience en faisant passer un malware de type Cheval de Troie en un jeu Pokémon de cartes et NFT à collectionner.
Via un site en apparence officiel, les utilisateurs sont invités à cliquer sur le bouton « Jouer sur PC » afin de se lancer dans la collecte de Pokémon et espérer au passage gagner de l'argent en investissant dans des NFT. Cette action entraîne, comme pour un jeu normal, le téléchargement d'un fichier exécutable sur son appareil.
Si ce fichier ressemble innocemment à un fichier d'installation lambda, il contient en réalité un outil d'accès à distance NetSupport. Par ailleurs utilisé de manière tout à fait légitime, le programme qui nous intéresse est bien différent.
Attrapez tous les malwares
Lorsque le fichier d'installation du « jeu » Pokémon est exécuté, il va en effet créer un dossier dans le chemin %APPDATA%, contenant des fichiers NetSupport, ainsi qu'une entrée dans le dossier Démarrage, afin de pouvoir être relancé à chaque redémarrage.
Ces fichiers contiennent une adresse serveur permettant aux acteurs derrière l'opération de commander et contrôler à distance les appareils infectés. Ceux-ci peuvent donc librement voler les données sensibles stockées et installer d'autres malwares.
La manière selon laquelle ces fichiers sont implantés rend par ailleurs leur suppression particulièrement délicate, notamment pour des profanes en la matière. Il est donc impératif de ne pas succomber aux sirènes du profit et à la bouille toute mignonne des Pokémons, en tout cas s'agissant de ce faux jeu de cartes à collectionner.
Source : ASEC
