Trojanizovana igra Super Mario inficira Windows računare

Opisi virusa, 26.06.2023, 08:30 AM

Trojanizovana igra Super Mario inficira Windows računare

Sajber kriminalci često koriste video igre za širenje malvera jer igre imaju široku korisničku bazu, a igrači su generalno skloni tome da poveruju da je ono što im se nudi legitimni softver. Taktike društvenog inženjeringa koje napadači koriste podstiču korisnike da preuzmu i pokrenu programe za instalaciju igara.

Takav jedan trojanizovani program za instalaciju popularne igre Super Mario 3: Mario Forever za Windows nedavno su otkrili istraživači iz kompanije Cyble.

Malveri koji se distribuiraju na ovakav način unovčavaju se kroz aktivnosti kao što je krađa osetljivih informacija, napadi ransomwarea i drugo.

Super Mario 3: Mario Forever je besplatan rimejk klasične Nintendo igre koju je razvio Buziol Games i objavljen za Windows platformu 2003. godine. Igra je postala veoma popularna, preuzeli su je milioni ljudi koji su je hvalili jer sadrži svu mehaniku klasične igre Mario, ali sa boljom grafikom i modernizovanim stilom i zvukom. Razvoj igre je nastavljen još jednu deceniju, tokom koje je izdato više verzija koje su donele ispravke grešaka i razna poboljšanja.

Istraživači iz Cyblea su, dakle, otkrili da sajber kriminalci distribuiraju modifikovani uzorak instalacionog programa Super Mario 3: Mario Forever, koji se distribuira kao samoraspakujuća arhiva.

Trojanizovana igra se verovatno promoviše na forumima za igre, u grupama na društvenim mrežama ili dolazi do korisnika preko zlonamernih oglasa (malvertajzing), crnog SEO-a itd.

Arhiva sadrži tri izvršna fajla, jedan koji instalira legitimnu igru („super-mario-forever-v702e.exe“) i dva druga, „java.exe“ i „atom.exe“, koji se diskretno instaliraju u AppData direktorijum na računaru žrtve tokom instalacije igre.

Fajl „java.exe“ je program za rudarenje kriptovalute Monero koji prikuplja informacije o hardveru žrtve i povezuje se sa serverom na „gulf[.]moneroocean[.]stream“ da bi započeo rudarenje.

SupremeBot („atom.exe“) pravi svoj duplikat i smešta kopiju u skrivenu fasciklu u instalacionom direktorijumu igre. Zatim, kreira zakazani zadatak za pokretanje kopije koja se pokreće svakih 15 minuta na neodređeno vreme, skrivajući se pod imenom legitimnog procesa.

Početni proces se prekida i originalni fajl se briše da bi se izbegla detekcija.

Malver zatim uspostavlja vezu sa serverom za komandu i kontrolu (C2), zbog registrovanja inficiranog računara, ali i da bi dobio konfiguraciju koja mu je potrebna da bi započeo rudarenje Monera.

Konačno, SupremeBot preuzima sa C2 fajl „wime.exe“. Taj fajl je Umbral Stealer, open-source alat za krađu informacija dostupan na GitHubu od aprila 2023. godine, koji krade podatke sa zaraženog Windows uređaja kao što su informacije sačuvane u veb pregledačima, lozinke i kolačiće koji sadrže tokene sesije, novčanike kriptovaluta i akreditive i tokene za autentifikaciju za Discord, Minecraft, Roblox i Telegram. Umbral Stealer takođe može da napravi skrinšotove Windows radne površine žrtve ili da koristi povezane veb kamere za snimanje videa. Svi ukradeni podaci se čuvaju lokalno pre eksfiltriranja na C2 server.

Umbral Stealer, ako je to moguće, dodaje svoj proces na Defenderovu listu izuzetaka čime izbegava detekciju.

Pored toga, on može da poremeti komunikaciju popularnih antivirusa sa sajtovima kompanija, ometajući tako njihov rad i efikasnost.

Oni koji su u skorije vreme preuzeli Super Mario 3: Mario Forever, trebalo bi da skeniraju svoj računar. Ako se otkrije malver, nakon što se ukloni, trebalo bi resetovati lozinke.


Foto: Cláudio Luiz Castro / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi špijun: Remcos RAT

Nevidljivi špijun: Remcos RAT

Stručnjaci za sajber bezbednost upozoravaju na nagli porast sajber napada u kojima se koristi Remcos, trojanac za daljinski pristup (RAT). Malver, ko... Dalje

Popularna platforma se zloupotrebljava za širenje malvera

Popularna platforma se zloupotrebljava za širenje malvera

Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje