Cyble-forskere opdagede et trojaniseret installationsprogram til Super Mario 3: Mario Forever til Windows, der inficerede intetanende spillere med adskillige malware.
Super Mario 3: Mario Forever er en gratis version af klassikeren Nintendo spil udviklet af Buziol spil og udgivet til Windows i 2003. Siden da, udviklingen af spillet er fortsat, flere versioner er blevet frigivet med fejlrettelser og forbedringer, og i dag er spillet stadig populært og betragtes som en klassiker.
Lad mig minde dig om, at vi også skrev det Erbium Infostealer spreder sig under dække af cracks og snyd til spil, og også det Usædvanlig YTSjæler Malware er rettet mod YouTubere.
Læs også en interessant anmeldelse af informationssikkerhedsspecialister: 5 Farerne ved crackede spil.
Eksperter fra Cyble virksomheden opdagede, at angribere oprettede et ændret installationsprogram til Super Mario 3: Mario for evigt, som præsenteres som et selvudpakkende eksekverbart arkiv og distribueres gennem ukendte kanaler. Højst sandsynlig, det inficerede spil annonceres på spilfora, sociale netværk, eller tilbydes brugere gennem ondsindet reklame, sort hat SEO, og så videre..
Ondsindet installationsprogram
Arkivet indeholder tre eksekverbare filer, hvoraf den ene installerer selve spillet (super-mario-forever-v702e.exe) og de to andre (java.exe og atom.exe) installeres stille i AppData-mappen under spilinstallationen.
Når de ondsindede eksekverbare filer er på disken, installationsprogrammet starter dem for at starte XMR (Monero) minearbejder og SupremeBot minedrift klient.
Java.exe-filen er en Monero cryptocurrency minearbejder, der indsamler oplysninger om ofrets hardware og forbinder til bugten[.]Monerocean[.]stream server for at komme i gang.
SupremeBot (atom.exe) opretter en kopi af sig selv og placerer den i en skjult mappe i spillets installationsmappe. Næste, det opretter en planlagt opgave til at udføre denne kopi, som kører hver 15 minutter på ubestemt tid, gemmer sig under navnet på en legitim proces.
Dette afslutter den oprindelige proces og sletter den originale fil for at undgå registrering. Malwaren etablerer derefter en forbindelse til kommando- og kontrolserveren for at overføre systemdata, registrere en kunde, og modtag konfiguration for at begynde at mine Monero. Efter det, SupremeBot modtager også en ekstra nyttelast fra serveren (i form af en eksekverbar navngivet wime.exe).
Denne sidste fil er en open source Umbral Stealer infostealer skrevet i C# og tilgængelig på GitHub siden april 2023. Det stjæler information, der er gemt i browsere, fra en inficeret enhed, inklusive gemte adgangskoder og cookies, der indeholder sessionstokens, cryptocurrency wallet data, samt legitimationsoplysninger og godkendelsestokens for Uenighed, Minecraft, Roblox og Telegram.
Ud over, Umbral Stealer kan omgå Windows Defender ved at deaktivere programmet, hvis manipulationsbeskyttelse ikke er aktiveret. Ellers, den tilføjer sig selv til eksklusionslisten. Malwaren ændrer også værter fil for at forstyrre driften af populære antivirusprodukter og de respektive virksomheders websteder, forhindrer normal drift.
Ændringer i værter
Tyveren er også i stand til at tage skærmbilleder af ofrets skrivebord og bruge webcams, der er tilsluttet systemet. Før de blev sendt til angriberne’ server, alle stjålne data gemmes lokalt.
Forskerne anbefaler, at alle, der for nylig har downloadet Super Mario 3: Mario Forever tjek deres computer for installeret malware og fjern den, hvis der findes nogen.
Efterlad en kommentar