Изследователите на Cyble откриха троянски инсталатор за Super Mario 3: Mario Forever за Windows, който зарази нищо неподозиращите играчи с множество зловреден софтуер.
супер Марио 3: Mario Forever е безплатна версия на класиката Nintendo игра, разработена от Игри Бузиол и пуснат за Windows през 2003. От тогава, развитието на играта продължи, бяха пуснати няколко версии с корекции на грешки и подобрения, и днес играта все още е популярна и се счита за класика.
Напомням, че и това писахме Ербий Infostealer се разпространява под прикритието на кракове и кодове за игри, а също и това необичайно YTStealer Зловреден софтуер е насочен към YouTubers.
Прочетете също интересен преглед на специалисти по информационна сигурност: 5 Опасности от кракнати игри.
Експерти от Cyble компанията откри, че нападателите създадоха модифицирана инсталационна програма за Super Mario 3: Марио завинаги, който се представя като саморазархивиращ се изпълним архив и се разпространява по неизвестни канали. Най-вероятно, заразената игра се рекламира във форуми за игри, социални мрежи, или предлагани на потребителите чрез злонамерена реклама, черна шапка SEO, и така нататък..
Злонамерен инсталатор
Архивът съдържа три изпълними файла, един от които инсталира самата игра (super-mario-forever-v702e.exe) и другите две (java.exe и atom.exe) се инсталират тихо в директорията AppData по време на инсталацията на играта.
След като злонамерените изпълними файлове са на диска, инсталаторът ги стартира, за да стартира XMR (Monero) миньор и SupremeBot копаещ клиент.
Файлът java.exe е копач на криптовалута Monero, който събира информация за хардуера на жертвата и се свързва със залива[.]moneroocean[.]сървър за поточно предаване, за да започнете.
SupremeBot (atom.exe) създава свое копие и го поставя в скрита папка в инсталационната директория на играта. Следващия, той създава планирана задача за изпълнение на това копие, който се изпълнява всеки 15 минути за неопределено време, криейки се под името на легитимен процес.
Това прекратява оригиналния процес и изтрива оригиналния файл, за да избегне откриването. След това зловредният софтуер установява връзка със сървъра за управление и управление, за да прехвърли системни данни, регистрирайте клиент, и да получите конфигурация, за да започнете копаене на Monero. След това, SupremeBot също получава допълнителен полезен товар от сървъра (под формата на изпълним файл с име wime.exe).
Последният файл е с отворен код Умбрал крадец infostealer, написан на C# и достъпен в GitHub от април 2023. Той краде информация, съхранена в браузърите, от заразено устройство, включително запазени пароли и бисквитки, съдържащи сесийни токени, данни от портфейла за криптовалута, както и идентификационни данни и токени за удостоверяване за Раздор, Minecraft, Roblox и Телеграма.
В допълнение, Umbral Stealer може да заобиколи Windows Defender като деактивирате програмата, ако защитата от злоупотреба не е активирана. В противен случай, той се добавя към списъка за изключване. Зловреден софтуер също така променя домакини файл, за да наруши работата на популярни антивирусни продукти и уебсайтовете на съответните компании, предотвратяване на нормална работа.
Промени в хостовете
Крадецът също може да прави екранни снимки на работния плот на жертвата и да използва уеб камери, свързани към системата. Преди да бъде изпратен на нападателите’ сървър, всички откраднати данни се съхраняват локално.
Изследователите препоръчват на всеки, който наскоро е изтеглил Super Mario 3: Mario Forever проверяват компютъра си за инсталиран зловреден софтуер и го премахват, ако бъде открит.
Оставете коментар