Ένα Trojanized πρόγραμμα εγκατάστασης για το Super Mario 3: Mario Forever για Windows συσκευές, μολύνει ανυποψίαστους gamers με malware.
Το Super Mario 3: Mario Forever είναι ένα δωρεάν ριμέικ του κλασικού παιχνιδιού της Nintendo που δημιουργήθηκε από την Buziol Games. Κυκλοφόρησε το 2003 για χρήση στα Windows. Το παιχνίδι έγινε γρήγορα δημοφιλές, με εκατομμύρια χρήστες να το κατεβάζουν στις συσκευές τους. Αυτό που το ξεχώρισε είναι ότι περιείχε όλους τους μηχανισμούς της κλασικής σειράς Super Mario αλλά με ενημερωμένα γραφικά και πιο μοντέρνο στυλ και ήχο.
Η ανάπτυξη του παιχνιδιού συνεχίστηκε για άλλη μια δεκαετία. Στο διάστημα αυτό, κυκλοφόρησαν πολλές νέες εκδόσεις που έφεραν διορθώσεις σφαλμάτων και βελτιώσεις. Σήμερα, θεωρείται ένα παιχνίδι post-modern classic.
Δείτε επίσης: NSA: Για να σκοτώσετε το BlackLotus malware, το patch είναι μια καλή αρχή
Super Mario 3: Mario Forever: Trojanized installer μολύνει Windows συσκευές
Οι ερευνητές της Cyble ανακάλυψαν ότι κακόβουλοι φορείς διανέμουν μια παραποιημένη έκδοση του προγράμματος εγκατάστασης του Super Mario 3: Mario Forever. Το αρχείο διανέμεται ως self-extracting archive executable μέσω άγνωστων καναλιών.
Το trojanized παιχνίδι πιθανότατα προωθείται σε gaming φόρουμ, social media, ενώ είναι πιθανή και η προώθηση μέσω malvertizing, Black SEO κ.λπ.
Το αρχείο περιέχει τρία εκτελέσιμα. Ένα από αυτά είναι το “super-mario-forever-v702e.exe“, το οποίο εγκαθιστά το νόμιμο παιχνίδι Mario. Τα άλλα δύο εκτελέσιμα αρχεία είναι το “java.exe” και το “atom.exe“, τα οποία εγκαθιστώνται “διακριτικά” στο AppData του θύματος κατά την εγκατάσταση του παιχνιδιού.
Μόλις τα κακόβουλα εκτελέσιμα βρίσκονται στο δίσκο, το installer πρόγραμμα τα εκτελεί για να τρέξει ένα XMR (Monero) miner και ένα SupremeBot mining client.
Το αρχείο “java.exe” είναι το Monero miner. Το κακόβουλο πρόγραμμα συλλέγει πληροφορίες σχετικά με το hardware του θύματος και συνδέεται με έναν mining server στο “gulf[.]moneroocean[.]stream” για να ξεκινήσει η εξόρυξη.
Από την άλλη μεριά, το SupremeBot (“atom.exe”) δημιουργεί ένα αντίγραφο του εαυτού του και τοποθετεί αυτό το αντίγραφο σε έναν κρυφό φάκελο στο installation directory του παιχνιδιού. Μετά από αυτό, δημιουργεί ένα scheduled task για την εκτέλεση του αντιγράφου, που γίνεται κάθε 15 λεπτά και κρύβεται κάτω από το όνομα ενός νόμιμου process.
Δείτε επίσης: Το ισχυρό JavaScript Dropper PindOS διανέμει malware Bumblebee και IcedID
Η αρχική διαδικασία τερματίζεται και το αρχικό αρχείο διαγράφεται για να μην είναι εύκολος ο εντοπισμός. Στη συνέχεια, το κακόβουλο λογισμικό δημιουργεί μια σύνδεση C2 για τη μετάδοση πληροφοριών και τη λήψη του mining configuration για να ξεκινήσει η διαδικασία εξόρυξης Monero.
Τέλος, το SupremeBot ανακτά ένα επιπλέον payload από το C2, το οποίο φτάνει ως εκτελέσιμο με το όνομα “wime.exe”.
Αυτό το τελικό αρχείο είναι το Umbral Stealer
. Πρόκειται για ένα πρόγραμμα κλοπής πληροφοριών ανοιχτού κώδικα, που διατίθεται στο GitHub από τον Απρίλιο του 2023. Το malware κλέβει δεδομένα από τη μολυσμένη συσκευή Windows.Τα δεδομένα που κλέβει, είναι πληροφορίες που είναι αποθηκευμένες σε προγράμματα περιήγησης ιστού, όπως passwords και cookies που περιέχουν session tokens, cryptocurrency wallets και credentials και authentication tokens για Discord, Minecraft, Roblox και Telegram.
Επιπλέον, το malware μπορεί να αποκτήσει screenshots της οθόνης των θυμάτων ή να χρησιμοποιήσει συνδεδεμένες κάμερες web για τη λήψη πολυμέσων. Όλα τα κλεμμένα δεδομένα αποθηκεύονται τοπικά προτού σταλούν στον C2 server.
Το malware που μολύνει τους χρήστες του Super Mario 3 μπορεί να αποφύγει το Windows Defender.
Επιπλέον, το κακόβουλο λογισμικό τροποποιεί το Windows hosts file για να βλάψει την επικοινωνία δημοφιλών προϊόντων προστασίας από ιούς με ιστότοπους της εταιρείας, εμποδίζοντας την τακτική λειτουργία και την αποτελεσματικότητά τους.
Δείτε επίσης: Κινέζοι χάκερ μόλυναν κατά λάθος ένα ευρωπαϊκό νοσοκομείο με malware
Προστασία
Εάν έχετε κατεβάσει το Super Mario 3: Mario Forever, θα πρέπει να ελέγξετε τον υπολογιστή σας για το ενδεχόμενο μόλυνσης από κάποιο malware. Εάν εντοπιστεί κακόβουλο λογισμικό, θα πρέπει να λάβετε μέτρα για να το αφαιρέσετε από τη συσκευή. Επιπλέον, δεδομένου ότι το Umbral Stealer κλέβει πληροφορίες, θα πρέπει να επαναφέρετε τους κωδικούς πρόσβασής σας σε σημαντικές υπηρεσίες και sites. Θυμηθείτε να χρησιμοποιήσετε έναν δύσκολο και μοναδικό κωδικό για τις διαφορετικές υπηρεσίες.
Επιπλέον, για να μειώσετε τις πιθανότητες να κατεβάσετε κάποιο malware που είναι κρυμμένο σε φαινομενικά νόμιμα παιχνίδια, επιλέξτε μόνο επίσημες πηγές όπως ο ιστότοπος του game publisher ή αξιόπιστες πλατφόρμες διανομής ψηφιακού περιεχομένου.
Τέλος, να σαρώνετε πάντα τα εκτελέσιμα αρχεία που έχετε λάβει χρησιμοποιώντας το λογισμικό προστασίας από ιούς και να ενημερώνετε τακτικά τόσο τις συσκευές όσο και τα antivirus λογισμικά.
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά προγράμματα εγκατάστασης παιχνιδιών για να μολύνουν χρήστες με διάφορα malware. Αυτό το κάνουν γιατί ξέρουν ότι τα παιχνίδια έχουν μεγάλη βάση χρηστών και οι φανατικοί gamers μπορούν να πέσουν πολύ εύκολα στην παγίδα.
Πηγή: www.bleepingcomputer.com