Cyble-Forscher haben ein mit einem Trojaner infiziertes Installationsprogramm für Super Mario entdeckt 3: Mario Forever für Windows, das ahnungslose Spieler mit zahlreicher Malware infizierte.
Super Mario 3: Mario Forever ist eine kostenlose Version des Klassikers Nintendo Spiel entwickelt von Buziol-Spiele und für Windows veröffentlicht 2003. Seit damals, Die Entwicklung des Spiels wurde fortgesetzt, Es wurden mehrere Versionen mit Fehlerbehebungen und Verbesserungen veröffentlicht, und auch heute noch ist das Spiel beliebt und gilt als Klassiker.
Ich möchte Sie daran erinnern, dass wir das auch geschrieben haben Erbium Infostealer verbreitet sich unter dem Deckmantel von Cracks und Cheats für Spiele, und auch das Ungewöhnlich YTStealer Malware zielt auf YouTuber ab.
Lesen Sie auch einen interessanten Bericht von Informationssicherheitsspezialisten: 5 Gefahren von gecrackten Spielen.
Experten der Fahrrad Das Unternehmen stellte fest, dass die Angreifer haben ein modifiziertes Installationsprogramm für Super Mario erstellt 3: Mario für immer, welches als selbstextrahierendes ausführbares Archiv präsentiert und über unbekannte Kanäle verbreitet wird. Höchstwahrscheinlich, Das infizierte Spiel wird in Spieleforen beworben, soziale Netzwerke, oder Benutzern durch böswillige Werbung angeboten werden, Black-Hat-SEO, und so weiter..
Schädliches Installationsprogramm
Das Archiv enthält drei ausführbare Dateien, Einer davon installiert das Spiel selbst (super-mario-forever-v702e.exe) und die anderen beiden (java.exe Und atom.exe) werden während der Spielinstallation stillschweigend im AppData-Verzeichnis installiert.
Sobald sich die schädlichen ausführbaren Dateien auf der Festplatte befinden, Das Installationsprogramm startet sie, um den XMR zu starten (Monero) Bergmann und die SupremeBot Bergbaukunde.
Die Datei java.exe ist ein Monero-Kryptowährungs-Miner, der Informationen über die Hardware des Opfers sammelt und eine Verbindung zum Golf herstellt[.]Moneroozean[.]Stream-Server, um loszulegen.
SupremeBot (atom.exe) erstellt eine Kopie von sich selbst und legt sie in einem versteckten Ordner im Installationsverzeichnis des Spiels ab. Nächste, Es erstellt eine geplante Aufgabe, um diese Kopie auszuführen, was jeden läuft 15 Minuten auf unbestimmte Zeit, sich unter dem Namen eines legitimen Prozesses verstecken.
Dadurch wird der ursprüngliche Prozess beendet und die Originaldatei gelöscht, um eine Erkennung zu vermeiden. Anschließend baut die Schadsoftware eine Verbindung zum Command-and-Control-Server auf, um Systemdaten zu übertragen, einen Kunden registrieren, und erhalten Sie die Konfiguration, um mit dem Mining von Monero zu beginnen. Danach, SupremeBot erhält außerdem eine zusätzliche Nutzlast vom Server (in Form einer ausführbaren Datei mit dem Namen wime.exe).
Diese letzte Datei ist eine Open Source Umbral-Stealer infostealer in C# geschrieben und seit April auf GitHub verfügbar 2023. Es stiehlt in Browsern gespeicherte Informationen von einem infizierten Gerät, einschließlich gespeicherter Passwörter und Cookies, die Sitzungstoken enthalten, Kryptowährungs-Wallet-Daten, sowie Anmeldeinformationen und Authentifizierungstoken für Zwietracht, Minecraft, Roblox Und Telegramm.
Zusätzlich, Umbral Stealer kann umgehen Windows Defender durch Deaktivieren des Programms, wenn der Manipulationsschutz nicht aktiviert ist. Ansonsten, es fügt sich selbst zur Ausschlussliste hinzu. Die Malware verändert auch die Gastgeber Datei, um den Betrieb gängiger Antivirenprodukte und der Websites der jeweiligen Unternehmen zu stören, verhindert den normalen Betrieb.
Änderungen bei den Gastgebern
Der Dieb ist auch in der Lage, Screenshots vom Desktop des Opfers zu machen und an das System angeschlossene Webcams zu verwenden. Bevor es an die Angreifer geschickt wird’ Server, Alle gestohlenen Daten werden lokal gespeichert.
Die Forscher empfehlen jedem, der kürzlich Super Mario heruntergeladen hat 3: Mario Forever überprüft seinen Computer auf installierte Malware und entfernt diese, falls welche gefunden wird.
Hinterlasse einen Kommentar