Bedrohungsakteure nutzen einen trojanisierten Super Mario 3-Installer zur Verbreitung von Malware

Sicherheitsforscher von Cyble haben herausgefunden, dass die Bedrohungsakteure eine veränderte Super Mario 3: Mario Forever-Installerprobe als selbstextrahierbare Archiv-Executable über nicht offengelegte Quellen verbreiten.

Ein mit Trojanern versehener Installer für Super Mario Forever für Windows hat ahnungslose Spieler mit mehreren Malware-Infektionen infiziert.

Super Mario 3: Mario Forever ist ein kostenlos spielbares Remake des ursprünglichen Nintendo-Spiels, das von Buzio Games entwickelt wurde und 2003 für die Windows-Plattform veröffentlicht wurde.

Wie wir bereits wissen, war das Spiel ein sofortiger Hit, wurde von Millionen von Nutzern weltweit heruntergeladen und für die Beibehaltung der klassischen Mario-Mechanik gelobt, während es moderne Grafiken und Sound bietet.

Das Malware-Spiel wird anscheinend in sozialen Medien und Gaming-Gruppen beworben oder den Nutzern über Black SEO, Malvertising und mehr aufgezwungen.

Lesen: Massiver Datenleck: Über 100K Chat GPT-Konten gestohlen, warnt Group IB

Das Archiv enthält drei Executables; die erste ist das authentische Mario-Spiel (v702e.exe), gefolgt von den beiden anderen Executables, die java.exe und atom.exe sind, die sicher im App-Datenverzeichnis des Ziels während der Spielinstallation installiert werden.

Da die bösartigen Executables auf der Festplatte sind, führt der Installer sie aus, um einen XMR zu starten, der ein Monero-Miner und der SupremeBot-Mining-Client ist.

Die zweite Executable, d.h. die java.exe-Datei, ist ein Monero-Miner, der Informationen über die Hardware des Ziels sammelt und dann eine Verbindung zu einem Mining-Server unter “gulf[.]moneroocean[.]stream” herstellt, um mit dem Mining zu beginnen.

Als nächstes kommt die dritte Executable, d.h. atom.exe (SupremeBot), die eine Kopie von sich selbst erstellt und eine Kopie in einem versteckten Ordner im Verzeichnis des Spiels ablegt. Danach erstellt sie eine geplante Aufgabe, um die Kopie auszuführen, die alle 15 Minuten unbegrenzt läuft und sich unter dem Namen eines authentischen Prozesses versteckt.

Der ursprüngliche Prozess wird gestoppt, und die Originaldatei wird gelöscht, um der Erkennung zu entkommen. Danach stellt die Malware eine C2-Verbindung her, um Informationen zu übertragen, den Client zu registrieren und Konfigurationen für das Mining zu erhalten, um mit dem Mining von Monero zu beginnen. Nach all dem erhält SupremeBot eine Nutzlast von der C2, die als ausführbare Datei namens wime.exe erscheint.

Die letzte Datei wird als Umbral Stealer bezeichnet, ein Open-Source-C#-Info-Stealer, der seit April dieses Jahres auf GitHub verfügbar ist und Daten von dem kompromittierten Windows-Rechner stiehlt.

Er stiehlt Informationen, die in Webbrowsern, Kryptowährungs-Wallets und Cookies gespeichert sind, die Sitzungstoken sowie Anmeldeinformationen und Authentifizierungstoken von Telegram, Discord und Roblox enthalten.

Der Stealer kann auch einen Screenshot des kompromittierten Windows-Desktops aufnehmen oder eine angeschlossene Webcam verwenden, um Daten zu erfassen. Alle gestohlenen Daten werden lokal gespeichert, bevor sie an einen C2-Server übertragen werden.

Der Info-Stealer ist kompetent genug, um Windows Defender zu umgehen, indem er einfach das Programm deaktiviert, wenn der Manipulationsschutz nicht aktiviert ist, und wenn nicht, fügt der Info-Stealer seinen Prozess zu den Ausschlusslisten des Antivirenprogramms hinzu.

Zusätzlich kann der Trojaner die Hosts-Datei von Windows ändern, um die Kommunikation des bekannten Antivirenprogramms mit der Website der Organisation zu schädigen, wodurch deren tägliche Operation und Effektivität gestoppt wird.

Das gesagt, wenn Sie kürzlich Super Mario 3: Mario Forever heruntergeladen haben, sollten Sie Ihren persönlichen Computer auf installierte Malware scannen und alle erkannten Malware entfernen. Wenn Malware erkannt wird, sollten Sie Ihre Passwörter auf jeder wichtigen Website, im Banking, in E-Mails und mehr ändern.

Lesen: Russische Hackergruppe Shuckworm zielt weiterhin auf Sicherheitsorganisationen in der Ukraine ab