트로이 목마가 포함된 슈퍼 마리오 3 게임 설치 프로그램을 사용하여 악성코드 전파

Cyble의 보안 연구원들은 위협 행위자들이 수정된 슈퍼 마리오 3: 마리오 포에버 설치 프로그램 샘플을 비공식 출처를 통해 자가 압축 아카이브 실행 파일로 배포하고 있다고 발견했습니다.

슈퍼 마리오 포에버의 트로이 목마가 포함된 설치 프로그램이 의심하지 않는 플레이어들에게 여러 악성코드 감염을 일으키고 있습니다.

슈퍼 마리오 3: 마리오 포에버는 Buzio Games가 개발한 원래 닌텐도의 무료 플레이 리메이크로, 2003년 Windows 플랫폼을 위해 출시되었습니다.

우리가 이미 알고 있듯이, 이 게임은 즉각적인 히트를 쳐서 전 세계 수백만 명의 사용자에 의해 다운로드되었으며, 고전적인 마리오 메커니즘을 유지하면서 현대적인 그래픽과 사운드를 제공한 점에서 찬사를 받았습니다.

이제 악성코드 게임은 소셜 미디어와 게임 그룹에서 홍보되고 있거나 블랙 SEO, 악성 광고 등을 통해 사용자에게 전파되고 있는 것으로 보입니다.

읽기: 대규모 데이터 유출: 10만 개 이상의 Chat GPT 계정 도난, Group IB 경고

아카이브에는 세 개의 실행 파일이 포함되어 있습니다. 첫 번째는 진짜 마리오 게임(v702e.exe)이고, 뒤따르는 두 개의 실행 파일은 java.exe와 atom.exe로, 게임 설치 중에 대상의 앱 데이터에 안전하게 설치됩니다.

악성 실행 파일이 디스크에 존재하게 되면, 설치 프로그램은 이를 실행하여 XMR인 모네로 채굴기와 SupremeBot 채굴 클라이언트를 실행합니다.

두 번째 실행 파일인 java.exe 파일은 모네로 채굴기로, 대상 하드웨어에 대한 정보를 수집한 후 “gulf[.]moneroocean[.]stream”의 채굴 서버에 연결하여 채굴을 시작합니다.

다음은 세 번째 실행 파일인 atom.exe(SupremeBot)로, 자신을 복제하여 게임 디렉토리의 숨겨진 폴더에 복사본을 배치합니다. 그 후, 15분마다 무한히 실행되는 복사본을 수행하기 위해 예약된 작업을 생성하며, 진짜 프로세스의 이름으로 숨겨집니다.

초기 프로세스는 중지되고 원본 파일은 탐지를 피하기 위해 삭제됩니다. 그 후, 악성코드는 정보를 전송하고 클라이언트를 등록하며 모네로 채굴을 시작하기 위한 채굴 구성을 수신하기 위해 C2 연결을 설정합니다. 이 모든 과정 후에 SupremeBot은 wime.exe라는 이름의 실행 파일로 C2로부터 페이로드를 받습니다.

마지막 파일은 Umbral Stealer라고 불리며, 올해 4월부터 GitHub에서 사용할 수 있는 오픈 소스 C# 정보 도둑입니다. 이 도둑은 손상된 Windows 머신에서 데이터를 훔칩니다.

웹 브라우저에 저장된 정보, 암호화폐 지갑 및 세션 토큰이 포함된 쿠키, Telegram, Discord 및 Roblox의 자격 증명 및 인증 토큰을 훔칩니다.

이 도둑은 손상된 Windows 데스크탑의 스크린샷을 찍거나 연결된 웹캠을 사용하여 데이터를 캡처할 수도 있습니다. 모든 도난된 데이터는 C2 서버로 전송되기 전에 로컬에 저장됩니다.

정보 도둑은 변조 방지가 활성화되지 않은 경우 프로그램을 단순히 비활성화하여 Windows Defender를 피할 수 있을 만큼 능숙하며, 그렇지 않은 경우 정보 도둑은 자신의 프로세스를 안티바이러스 제외 목록에 추가합니다.

이 외에도, 트로이 목마는 Windows 호스트 파일을 변경하여 유명한 안티바이러스와 조직의 웹사이트 간의 통신을 방해하여 그들의 일상적인 운영과 효율성을 중단시킬 수 있습니다.

따라서 최근에 슈퍼 마리오 3: 마리오 포에버를 다운로드한 경우, 개인 컴퓨터에서 설치된 악성코드를 스캔하고 탐지된 악성코드를 제거해야 합니다. 악성코드가 탐지되면 모든 중요한 웹사이트, 은행, 이메일 등에서 비밀번호를 변경해야 합니다.

읽기: 러시아 해커 그룹 Shuckworm, 여전히 우크라이나 보안 기관을 타겟으로 함