I ricercatori di Cyble hanno scoperto un programma di installazione trojanizzato per Super Mario 3: Mario Forever per Windows che ha infettato i giocatori ignari con numerosi malware.
Super Mario 3: Mario Forever è una versione gratuita del classico Nintendo gioco sviluppato da Giochi di Buziol e rilasciato per Windows in 2003. Da allora, lo sviluppo del gioco è continuato, sono state rilasciate diverse versioni con correzioni di bug e miglioramenti, e oggi il gioco è ancora popolare e considerato un classico.
Lascia che ti ricordi che abbiamo scritto anche quello Erbio Infostealer si sta diffondendo con il pretesto di crack e trucchi per i giochi, e anche quello Insolito YTStealer Il malware prende di mira gli YouTuber.
Leggi anche un'interessante recensione di specialisti della sicurezza informatica: 5 Pericoli dei giochi crackati.
Esperti del Cyble l'azienda ha scoperto che il gli aggressori hanno creato un programma di installazione modificato per Super Mario 3: Mario Per sempre, che si presenta come un archivio eseguibile autoestraente e distribuito attraverso canali sconosciuti. Più probabilmente, il gioco infetto è pubblicizzato sui forum di gioco, social networks, o offerti agli utenti tramite pubblicità dannosa, SEO cappello nero, e così via..
Programma di installazione dannoso
L'archivio contiene tre file eseguibili, uno dei quali installa il gioco stesso (super-mario-forever-v702e.exe) e gli altri due (java.exe E atom.exe) vengono installati silenziosamente nella directory AppData durante l'installazione del gioco.
Una volta che gli eseguibili dannosi sono sul disco, il programma di installazione li avvia per avviare XMR (Monero) minatore e il SupremeBot cliente minerario.
Il file java.exe è un minatore di criptovaluta Monero che raccoglie informazioni sull'hardware della vittima e si connette a Gulf[.]moneroocean[.]server di streaming per iniziare.
SupremeBot (atom.exe) crea una copia di se stesso e la inserisce in una cartella nascosta nella directory di installazione del gioco. Prossimo, crea un'attività pianificata per eseguire questa copia, che corre ogni 15 minuti indefinitamente, nascondendosi sotto il nome di un processo legittimo.
Ciò termina il processo originale ed elimina il file originale per evitare il rilevamento. Il malware stabilisce quindi una connessione con il server di comando e controllo per trasferire i dati di sistema, registrare un cliente, e ricevi la configurazione per iniziare a estrarre Monero. Dopo di che, SupremeBot riceve anche un carico utile aggiuntivo dal server (sotto forma di un eseguibile denominato wime.exe).
Quest'ultimo file è un open source Ladro ombroso infostealer scritto in C# e disponibile su GitHub da aprile 2023. Ruba le informazioni archiviate nei browser da un dispositivo infetto, comprese le password salvate e i cookie contenenti token di sessione, dati del portafoglio di criptovaluta, nonché credenziali e token di autenticazione per Discordia, Minecraft, Roblox E Telegramma.
Inoltre, Il Ladro Ombroso può bypassare Windows Defender disabilitando il programma se la protezione antimanomissione non è abilitata. Altrimenti, si aggiunge all'elenco di esclusione. Il malware modifica anche il file ospiti file per interrompere il funzionamento dei prodotti antivirus più diffusi e dei siti Web delle rispettive società, impedendo il normale funzionamento.
Cambiamenti negli host
Il ladro è anche in grado di acquisire screenshot del desktop della vittima e utilizzare webcam collegate al sistema. Prima di essere inviato agli aggressori’ server, tutti i dati rubati vengono archiviati localmente.
I ricercatori lo consigliano a chiunque abbia scaricato di recente Super Mario 3: Mario Forever controlla il computer per verificare la presenza di malware installato e rimuovilo se ne viene trovato.
Lascia un commento