Cercetătorii Cyble au descoperit un program de instalare troian pentru Super Mario 3: Mario Forever pentru Windows care a infectat jucători nebănuiți cu numeroase programe malware.
Super Mario 3: Mario Forever este o versiune gratuită a clasicului Nintendo joc dezvoltat de Jocuri Buziol și lansat pentru Windows în 2003. De atunci, dezvoltarea jocului a continuat, Au fost lansate mai multe versiuni cu remedieri de erori și îmbunătățiri, iar astăzi jocul este încă popular și considerat un clasic.
Permiteți-mi să vă reamintesc că și noi am scris asta Erbiu Infostealer se răspândește sub masca crack-urilor și trucurilor pentru jocuri, și de asemenea că Neobișnuit YTStealer Programele malware vizează YouTubers.
Citiți și o recenzie interesantă a specialiștilor în securitatea informațiilor: 5 Pericolele jocurilor sparte.
Experți din Cyble compania a descoperit că atacatorii au creat un program de instalare modificat pentru Super Mario 3: Mario pentru totdeauna, care este prezentată ca o arhivă executabilă autoextractabilă și distribuită prin canale necunoscute. Cel mai probabil, jocul infectat este anunțat pe forumurile de jocuri, retele sociale, sau oferite utilizatorilor prin publicitate rău intenționată, pălărie neagră SEO, și așa mai departe..
Program de instalare rău intenționat
Arhiva conține trei fișiere executabile, dintre care unul instalează jocul în sine (super-mario-forever-v702e.exe) iar celelalte două (java.exe și atom.exe) sunt instalate silențios în directorul AppData în timpul instalării jocului.
Odată ce executabilele rău intenționate sunt pe disc, programul de instalare le lansează pentru a lansa XMR (Monero) miner și cel SupremeBot client minier.
Fișierul java.exe este un miner de criptomonede Monero care colectează informații despre hardware-ul victimei și se conectează la golf[.]moneroocean[.]server de flux pentru a începe.
SupremeBot (atom.exe) creează o copie a sa și o plasează într-un folder ascuns din directorul de instalare al jocului. Următorul, creează o sarcină programată pentru a executa această copie, care rulează fiecare 15 minute la infinit, ascunzându-se sub numele unui proces legitim.
Acest lucru încheie procesul original și șterge fișierul original pentru a evita detectarea. Programul malware stabilește apoi o conexiune la serverul de comandă și control pentru a transfera datele sistemului, inregistreaza un client, și primiți configurație pentru a începe să minați Monero. După care, SupremeBot primește și o sarcină suplimentară de la server (sub forma unui executabil numit wime.exe).
Acest ultim fișier este o sursă deschisă Umbral Stealer infostealer scris în C# și disponibil pe GitHub din aprilie 2023. Fură informațiile stocate în browsere de pe un dispozitiv infectat, inclusiv parolele salvate și cookie-urile care conțin simboluri de sesiune, date portofel de criptomonede, precum și acreditările și jetoanele de autentificare pentru Discordie, Minecraft, Roblox și Telegramă.
în plus, Umbral Stealer poate ocoli Windows Defender prin dezactivarea programului dacă nu este activată protecția împotriva manipulării. In caz contrar, se adaugă pe lista de excludere. De asemenea, malware-ul modifică gazde fișier pentru a perturba funcționarea produselor antivirus populare și a site-urilor web ale companiilor respective, împiedicând funcționarea normală.
Schimbări în gazde
Furatorul poate, de asemenea, să facă capturi de ecran de pe desktopul victimei și să folosească camere web conectate la sistem. Înainte de a fi trimis la atacatori’ Server, toate datele furate sunt stocate local.
Cercetătorii recomandă tuturor celor care au descărcat recent Super Mario 3: Mario Forever verifică computerul pentru malware instalat și șterge-l dacă este găsit.
Lasa un comentariu