Varning om Falsk Webbplats för Pudgy Penguins
En falsk webbplats som utger sig för att vara Pudgy Penguins nylanserade webbläsarspel, Pudgy World, försöker stjäla kryptovaluta plånbokslösenord. Detta varnar cybersäkerhetsföretaget Malwarebytes Labs. I en rapport uppger Malwarebytes att phishingoperationen, pudgypengu-gamegifts[.]live, använder mycket övertygande kopior av kryptovaluta plåksgränssnitt för att lura användare.
”Vissa funktioner är kopplade till digitala samlarobjekt och spelobjekt som lagras i kryptovaluta plånböcker. Det betyder att det officiella spelet ibland ber spelare att koppla en kryptovaluta plånbok för att verifiera ägande av objekt eller låsa upp ytterligare funktioner,” säger Stefan Dasic, senior malwareforskningsingenjör och rapportförfattare.
”Phishingwebbplatsen missbrukar det steget: När en besökare väljer sin plånbok på denna falska webbplats, visar den vad som verkar vara den plånbokens egen upplåsningsskärm. För användaren ser det ut som den verkliga kryptovaluta plånboksprogramvaran de redan litar på.”
Phishing och Cyberbrott
Phishing förblir en av de mest utbredda formerna av cyberbrott. Enligt FBI:s Internet Crime Complaint Center (IC3) stod phishing- och spoofingbedrägerier för 193 407 klagomål under 2024, med rapporterade förluster som översteg 70 miljoner dollar. Det är ännu inte känt om någon har blivit offer för denna specifika webbplats.
Varningen kommer en vecka efter lanseringen av Pudgy World, ett gratis webbläsarspel kopplat till Pudgy Penguins NFT-märke. Spelet, som gick live den 10 mars, låter spelare utforska en virtuell värld, anpassa pingvinavatarer och slutföra uppdrag, med vissa funktioner som kräver att användare kopplar kryptovaluta plånböcker.
Pudgy Penguins och Marknadsutveckling
Pudgy Penguins har vuxit snabbt sedan det förvärvades av VD Luca Netz 2022 och har expanderat från en NFT-samling till ett bredare konsumentmärke med detaljhandelsprodukter, ett mobilspel och nu ett webbläsarbaserat spel. Samlingen har ett golvpris på 4,25 ETH (9 500 dollar), enligt CoinGecko, vilket är långt under 88,3 % av sitt högsta pris i december 2024 på 36,33 ETH.
Dasic påpekar att tidpunkten för kampanjen verkar vara avsiktlig, i samband med spelets lansering och inflödet av nya användare som är obekanta med säkerhetsrutiner för kryptovaluta plånböcker. ”Området av plånböcker som riktas är också betydande. Kampanjen lämnar nästan ingen plånbok utan uppsikt,” säger han. ”Oavsett om offret har Ethereum, Solana eller multi-chain tillgångar, finns det en övertygande förfalskning som väntar på dem.”
”Att bygga 11 plånboksspecifika UI-förfalskningar är inte en trivial uppgift,” tillägger Dasic och noterar att det antyder antingen en ”välresursad hotaktör” eller återanvändning av ett kommersiellt phishing-kit byggt för denna typ av attack.
Sådana taktiker är vanliga i kryptorelaterade bedrägerier, där angripare registrerar domäner som liknar legitima eller manipulerar sökannonser för att verka autentiska. Till exempel kan bedragare skicka ut officiellt utseende e-postmeddelanden med en domän som har .qov istället för .gov i hopp om att folk inte ska märka den lilla skillnaden.
Rekommendationer för Användare
Pudgy Penguins har tidigare blivit måltavla för bedragare som använder falska webbplatser. I december 2024 varnade blockchain-säkerhetsföretaget Scam Sniffer att angripare använde skadliga Google-annonser för att utge sig för att vara Pudgy Penguins plattformar och lura användare att koppla sina plånböcker.
Användare rekommenderas att endast komma åt officiella webbplatser genom betrodda bokmärken, undvika att klicka på länkar från sociala medier eller direkta meddelanden, och komma ihåg att legitima plånbokslösenordsuppmaningar inte visas i webbplatsens innehåll. Malwarebytes rekommenderade också att omedelbart ändra plånbokslösenord om uppgifter har angetts på en misstänkt webbplats och överväga att flytta medel till en ny plånbok om kompromiss misstänks. Pudgy Penguins har kontaktats för kommentar.
