Trojanizovana igra Super Mario inficira Windows računare

Opisi virusa, 26.06.2023, 08:30 AM

Sajber kriminalci često koriste video igre za širenje malvera jer igre imaju široku korisničku bazu, a igrači su generalno skloni tome da poveruju da je ono što im se nudi legitimni softver. Taktike društvenog inženjeringa koje napadači koriste podstiču korisnike da preuzmu i pokrenu programe za instalaciju igara.

Takav jedan trojanizovani program za instalaciju popularne igre Super Mario 3: Mario Forever za Windows nedavno su otkrili istraživači iz kompanije Cyble.

Malveri koji se distribuiraju na ovakav način unovčavaju se kroz aktivnosti kao što je krađa osetljivih informacija, napadi ransomwarea i drugo.

Super Mario 3: Mario Forever je besplatan rimejk klasične Nintendo igre koju je razvio Buziol Games i objavljen za Windows platformu 2003. godine. Igra je postala veoma popularna, preuzeli su je milioni ljudi koji su je hvalili jer sadrži svu mehaniku klasične igre Mario, ali sa boljom grafikom i modernizovanim stilom i zvukom. Razvoj igre je nastavljen još jednu deceniju, tokom koje je izdato više verzija koje su donele ispravke grešaka i razna poboljšanja.

Istraživači iz Cyblea su, dakle, otkrili da sajber kriminalci distribuiraju modifikovani uzorak instalacionog programa Super Mario 3: Mario Forever, koji se distribuira kao samoraspakujuća arhiva.

Trojanizovana igra se verovatno promoviše na forumima za igre, u grupama na društvenim mrežama ili dolazi do korisnika preko zlonamernih oglasa (malvertajzing), crnog SEO-a itd.

Arhiva sadrži tri izvršna fajla, jedan koji instalira legitimnu igru („super-mario-forever-v702e.exe“) i dva druga, „java.exe“ i „atom.exe“, koji se diskretno instaliraju u AppData direktorijum na računaru žrtve tokom instalacije igre.

Fajl „java.exe“ je program za rudarenje kriptovalute Monero koji prikuplja informacije o hardveru žrtve i povezuje se sa serverom na „gulf[.]moneroocean[.]stream“ da bi započeo rudarenje.

SupremeBot („atom.exe“) pravi svoj duplikat i smešta kopiju u skrivenu fasciklu u instalacionom direktorijumu igre. Zatim, kreira zakazani zadatak za pokretanje kopije koja se pokreće svakih 15 minuta na neodređeno vreme, skrivajući se pod imenom legitimnog procesa.

Početni proces se prekida i originalni fajl se briše da bi se izbegla detekcija.

Malver zatim uspostavlja vezu sa serverom za komandu i kontrolu (C2), zbog registrovanja inficiranog računara, ali i da bi dobio konfiguraciju koja mu je potrebna da bi započeo rudarenje Monera.

Konačno, SupremeBot preuzima sa C2 fajl „wime.exe“. Taj fajl je Umbral Stealer, open-source alat za krađu informacija dostupan na GitHubu od aprila 2023. godine, koji krade podatke sa zaraženog Windows uređaja kao što su informacije sačuvane u veb pregledačima, lozinke i kolačiće koji sadrže tokene sesije, novčanike kriptovaluta i akreditive i tokene za autentifikaciju za Discord, Minecraft, Roblox i Telegram. Umbral Stealer takođe može da napravi skrinšotove Windows radne površine žrtve ili da koristi povezane veb kamere za snimanje videa. Svi ukradeni podaci se čuvaju lokalno pre eksfiltriranja na C2 server.

Umbral Stealer, ako je to moguće, dodaje svoj proces na Defenderovu listu izuzetaka čime izbegava detekciju.

Pored toga, on može da poremeti komunikaciju popularnih antivirusa sa sajtovima kompanija, ometajući tako njihov rad i efikasnost.

Oni koji su u skorije vreme preuzeli Super Mario 3: Mario Forever, trebalo bi da skeniraju svoj računar. Ako se otkrije malver, nakon što se ukloni, trebalo bi resetovati lozinke.

Foto: Cláudio Luiz Castro / Unsplash