NFT热门项目遭冒充，警惕避陷阱！

Pixelmon是一个热门的NFT项目，旨在创建一个元宇宙游戏，用户可以在其中收集、训练Pixelmon宠物，并与其他玩家进行战斗。该项目在Twitter上有近20万名粉丝和超过2.5万名Discord成员，引起了广泛关注。

为了利用这一兴趣，威胁参与者复制了合法的pixelmon.club网站，并在pixelmon[.]pw上创建了一个虚假版本来分发恶意软件。

这个恶意站点几乎与合法站点完全相同，但它提供的不是该项目的游戏演示，而是一个在设备上安装密码窃取恶意软件的可执行文件。

该网站提供了一个名为Installer.zip的文件，其中包含一个看似已损坏且不会以任何恶意软件感染用户的可执行文件。

然而，发现这个恶意站点的MalwareHunterTeam还发现了该站点分发的其他恶意文件。

其中一个恶意文件是setup.zip，里面包含setup.lnk文件。Setup.lnk是一个Windows快捷方式，它将执行PowerShell命令以下载pixelmon[.]pw上的system32.hta文件。

测试这些恶意有效载荷时，System32.hta文件下载了一种名为Vidar的密码窃取恶意软件，它在过去并不常见。安全研究员Fumik0_证实了这一点，他以前曾分析过这个恶意软件家族。

在执行时，威胁参与者的Vidar样本将连接到Telegram频道，并检索恶意软件命令和控制服务器的IP地址。

恶意软件从C2中检索配置命令，并下载更多模块，用于从受感染设备中窃取数据。

Vidar恶意软件可以从浏览器和应用程序中窃取密码，并在计算机中搜索与特定名称匹配的文件，然后将这些文件上传给威胁参与者。

从恶意软件配置中可以看出，C2指示恶意软件搜索和窃取各种文件，包括文本文件、加密货币钱包、备份、代码、密码文件和身份验证文件。

考虑到这是一个NFT网站，预计访问者会在自己的计算机上安装加密货币钱包，因此威胁参与者强调搜索和窃取与加密货币相关的文件。

尽管该站点目前没有分发有效的恶意载荷，但证据表明威胁参与者会持续修改该站点，因为两天前存在的有效载荷已经消失。鉴于该网站的活动，可以预计此活动将继续存在并且威胁会很快增加。

随着NFT项目被旨在窃取加密货币的骗局所淹没，用户应该再三确认正在访问的URL是否与感兴趣的项目相关。此外，在未使用防病毒软件或使用VirusTotal进行扫描之前，切勿执行来自未知网站的任何可执行文件。

热点：NFT nft网 nft网站 pi 代币 项目