Злоумышленники используют троянский установщик игры Super Mario 3 для распространения вредоносного ПО

Исследователи безопасности из Cyble обнаружили, что злоумышленники распространяют измененный установщик Super Mario 3: Mario Forever в виде самораспаковывающегося архивного исполняемого файла через нераскрытые источники.

Установщик с трояном для Super Mario Forever для Windows заражает ничего не подозревающих игроков множеством вредоносных инфекций.

Super Mario 3: Mario Forever — это бесплатный ремейк оригинальной игры Nintendo, разработанный Buzio Games и выпущенный для платформы Windows в 2003 году.

Как мы уже знаем, игра стала мгновенным хитом, ее скачали миллионы пользователей по всему миру и похвалили за сохранение классической механики Mario при добавлении современных графики и звука.

Далее, вредоносная игра, похоже, рекламируется в социальных сетях и игровых группах или продвигается пользователям через черный SEO, малвертинг и другие методы.

Читать: Масштабная утечка данных: украдено более 100K аккаунтов Chat GPT, предупреждает Group IB

Архив содержит три исполняемых файла; первый — это аутентичная игра Mario (v702e.exe), за которой следуют два других исполняемых файла: java.exe и atom.exe, которые безопасно устанавливаются в данные приложения цели во время установки игры.

Когда вредоносные исполняемые файлы находятся на диске, установщик выполняет их для запуска XMR, который является майнером Monero и клиентом SupremeBot.

Второй исполняемый файл, т.е. файл java.exe, является майнером Monero, который собирает информацию о аппаратном обеспечении цели и затем подключается к серверу майнинга по адресу “gulf[.]moneroocean[.]stream”, чтобы начать майнинг.

Следующий исполняемый файл, т.е. atom.exe (SupremeBot), создает дубликат самого себя и помещает копию в скрытую папку в директории игры. После этого он создает запланированную задачу для выполнения копии, которая запускается каждые 15 минут бесконечно и скрывается под именем аутентичного процесса.

Первоначальный процесс останавливается, и оригинальный файл удаляется, чтобы избежать обнаружения. После этого вредоносное ПО устанавливает соединение C2 для передачи информации, регистрации клиента и получения конфигурации майнинга для начала майнинга Monero. После всего этого SupremeBot получает полезную нагрузку от C2, которая появляется как исполняемый файл с именем wime.exe.

Последний файл называется Umbral Stealer, это открытый C# инструмент для кражи информации, доступный на GitHub с апреля этого года, который крадет данные с скомпрометированной Windows-машины.

Он крадет информацию, сохраненную в веб-браузерах, криптовалютных кошельках и куках, содержащих токены сессий, а также учетные данные и токены аутентификации из Telegram, Discord и Roblox.

Stealer также может сделать снимок экрана с скомпрометированного рабочего стола Windows или использовать подключенную веб-камеру для захвата данных. Все украденные данные хранятся локально перед передачей на сервер C2.

Инструмент для кражи информации достаточно компетентен, чтобы избежать Windows Defender, просто отключив программу, если защита от подделки не включена, а если нет, то инструмент для кражи информации добавляет свой процесс в списки исключений антивируса.

Кроме того, троян может изменить файл hosts Windows, чтобы навредить связи известного антивируса с веб-сайтом организации, останавливая их ежедневную работу и эффективность.

С учетом сказанного, если вы недавно скачали Super Mario 3: Mario Forever, вам следует просканировать свой персональный компьютер на наличие установленного вредоносного ПО и удалить любое обнаруженное вредоносное ПО. Если вредоносное ПО обнаружено, вам следует изменить свои пароли на каждом важном веб-сайте, в банковских, электронных почтах и т.д.

Читать: Российская хакерская группа Shuckworm по-прежнему нацелена на организации безопасности Украины