محققان Cyble یک نصب کننده تروجانیزه شده برای Super Mario کشف کردند 3: Mario Forever برای ویندوز که بازیکنان ناآگاه را با بدافزارهای متعدد آلوده کرد.
سوپر ماریو 3: Mario Forever یک نسخه رایگان از کلاسیک است نینتندو بازی توسعه یافته توسط بازی های بوزیول و برای ویندوز منتشر شد 2003. از آن به بعد, توسعه بازی ادامه یافته است, چندین نسخه با رفع اشکال و بهبود منتشر شده است, و امروزه این بازی همچنان محبوب است و یک بازی کلاسیک در نظر گرفته می شود.
یادآوری کنم که ما هم همین را نوشتیم اربیوم Infostealer تحت عنوان کرک ها و تقلب ها برای بازی ها پخش می شود, و همچنین آن غیر معمول YTSstealer بدافزار یوتیوبرها را هدف قرار می دهد.
همچنین بررسی جالب متخصصان امنیت اطلاعات را بخوانید: 5 خطرات بازی های کرک شده.
کارشناسان از سیبل شرکت کشف کرد که مهاجمان یک نصب کننده اصلاح شده برای Super Mario ایجاد کردند 3: ماریو برای همیشه, که به عنوان یک آرشیو اجرایی خود استخراجی ارائه شده و از طریق کانال های ناشناخته توزیع می شود. به احتمال زیاد, بازی آلوده در انجمن های بازی تبلیغ می شود, شبکه های اجتماعی, یا از طریق تبلیغات مخرب به کاربران ارائه می شود, سئو کلاه سیاه, و غیره.
نصب کننده مخرب
آرشیو شامل سه فایل اجرایی است, یکی از آنها خود بازی را نصب می کند (super-mario-forever-v702e.exe) و دو تای دیگر (java.exe و atom.exe) در حین نصب بازی به صورت بی صدا در فهرست AppData نصب می شوند.
زمانی که فایل های اجرایی مخرب روی دیسک قرار می گیرند, نصب کننده آنها را برای راه اندازی XMR راه اندازی می کند (مونرو) معدنچی و SupremeBot مشتری معدن.
فایل java.exe یک ماینر ارز دیجیتال Monero است که اطلاعات مربوط به سخت افزار قربانی را جمع آوری کرده و به خلیج متصل می شود.[.]تک اقیانوسی[.]سرور استریم برای شروع.
SupremeBot (atom.exe) یک کپی از خود ایجاد می کند و آن را در پوشه ای مخفی در فهرست نصب بازی قرار می دهد. بعد, یک کار برنامه ریزی شده برای اجرای این کپی ایجاد می کند, که هر کدوم اجرا میشه 15 دقیقه به طور نامحدود, پنهان شدن تحت عنوان یک فرآیند قانونی.
این کار فرآیند اصلی را خاتمه می دهد و فایل اصلی را برای جلوگیری از شناسایی حذف می کند. سپس بدافزار برای انتقال داده های سیستم با سرور فرمان و کنترل ارتباط برقرار می کند, مشتری ثبت کنید, و پیکربندی را برای شروع استخراج Monero دریافت کنید. بعد از آن, SupremeBot همچنین یک بار اضافی از سرور دریافت می کند (در قالب یک فایل اجرایی به نام wime.exe).
این آخرین فایل یک منبع باز است دزد آمبرال infostealer به زبان C# نوشته شده و از آوریل در GitHub در دسترس است 2023. اطلاعات ذخیره شده در مرورگرها را از دستگاه آلوده سرقت می کند, از جمله رمزهای عبور ذخیره شده و کوکی های حاوی نشانه های جلسه, داده های کیف پول ارزهای دیجیتال, و همچنین اعتبار و توکن های احراز هویت برای اختلاف نظر, ماین کرافت, روبلوکس و تلگرام.
علاوه بر این, Umbral Stealer می تواند دور بزند ویندوز دیفندر با غیرفعال کردن برنامه در صورت فعال نبودن محافظت از دستکاری. در غیر این صورت, خود را به لیست حذف اضافه می کند. بدافزار همچنین تغییر می دهد میزبان ها فایلی برای اختلال در عملکرد آنتی ویروس های محبوب و وب سایت های شرکت های مربوطه, جلوگیری از عملکرد عادی.
تغییرات در هاست
سارق همچنین می تواند از دسکتاپ قربانی عکس بگیرد و از وب کم های متصل به سیستم استفاده کند.. قبل از فرستادن به مهاجمان’ سرور, تمام داده های دزدیده شده به صورت محلی ذخیره می شوند.
محققان توصیه می کنند هر کسی که اخیرا Super Mario را دانلود کرده است 3: Mario Forever رایانه خود را از نظر بدافزار نصب شده بررسی کرده و در صورت یافتن آن را حذف کنید.
پیام بگذارید