Cybleの研究者がスーパーマリオのトロイの木馬化したインストーラーを発見 3: Windows 版マリオ フォーエバー、無防備なプレイヤーを多数のマルウェアに感染させる.
スーパーマリオ 3: Mario Forever はクラシックの無料バージョンです 任天堂 によって開発されたゲーム ブジオル ゲーム そしてWindows向けにリリースされました 2003. それ以来, ゲームの開発は続いています, バグ修正と改良を加えたいくつかのバージョンがリリースされています, そして今日でもこのゲームは人気があり、古典的とみなされています.
私たちもそう書いたことを思い出させてください エルビウム Infostealerはゲームのクラックやチートを装って拡散中, そしてそれも 普通でない YTSティーラー YouTuberを狙うマルウェア.
情報セキュリティ専門家による興味深いレビューもお読みください: 5 クラックされたゲームの危険性.
の専門家 サイクル 会社が発見したのは、 攻撃者はスーパーマリオ用に改変されたインストーラーを作成しました 3: マリオフォーエバー, 自己解凍型の実行可能アーカイブとして提供され、未知のチャネルを通じて配布されます。. 最も可能性が高い, 感染したゲームがゲーム フォーラムで宣伝される, ソーシャルネットワーク, または悪意のある広告を通じてユーザーに提供される, ブラックハットSEO, 等々。.
悪意のあるインストーラー
アーカイブには 3 つの実行可能ファイルが含まれています, そのうちの 1 つはゲーム自体をインストールします (スーパーマリオフォーエバーv702e.exe) そして他の2人は (java.exe と アトム.exe) ゲームのインストール中に AppData ディレクトリにサイレントにインストールされます.
悪意のある実行可能ファイルがディスク上に存在すると、, インストーラはそれらを起動して XMR を起動します (モネロ) 鉱夫と シュプリームボット マイニングクライアント.
java.exe ファイルは、被害者のハードウェアに関する情報を収集し、湾岸に接続する Monero 暗号通貨マイナーです。[.]モネオーシャン[.]ストリームサーバーを開始するには.
シュプリームボット (アトム.exe) 自分自身のコピーを作成し、ゲームのインストール ディレクトリの隠しフォルダーに配置します。. 次, このコピーを実行するスケジュールされたタスクを作成します, 毎に実行されます 15 無期限に分, 正規のプロセスの名の下に隠れる.
これにより、元のプロセスが終了し、検出を避けるために元のファイルが削除されます。. その後、マルウェアはコマンド アンド コントロール サーバーへの接続を確立し、システム データを転送します。, クライアントを登録する, Monero のマイニングを開始するための設定を受け取ります. その後, SupremeBot はサーバーから追加のペイロードも受け取ります (という名前の実行可能ファイルの形式で wime.exe).
この最後のファイルはオープンソースです アンブラル・スティーラー infostealer は C# で書かれ、4 月から GitHub で利用可能になりました 2023. 感染したデバイスからブラウザに保存されている情報を盗みます, 保存されたパスワードとセッション トークンを含む Cookie を含む, 暗号通貨ウォレットのデータ, 資格情報と認証トークンだけでなく、 不和, マインクラフト, ロブロックス と 電報.
加えて, アンブラル・スティーラーは回避可能 Windows ディフェンダー タンパープロテクションが有効になっていない場合はプログラムを無効にする. さもないと, 自分自身を除外リストに追加します. マルウェアはまた、 ホスト 人気のウイルス対策製品や各社の Web サイトの運営を妨害するファイル, 正常な動作を妨げる.
ホストの変更
窃盗者は、被害者のデスクトップのスクリーンショットを撮ったり、システムに接続された Web カメラを使用したりすることもできます。. 攻撃者に送られる前に’ サーバ, 盗まれたデータはすべてローカルに保存されます.
研究者らは、最近スーパーマリオをダウンロードした人には、 3: Mario Forever はコンピュータにマルウェアがインストールされていないか確認し、見つかった場合は削除します.
コメントを残す