Trojanizovana igra Super Mario inficira Windows računare

Opisi virusa, 26.06.2023, 08:30 AM

Trojanizovana igra Super Mario inficira Windows računare

Sajber kriminalci često koriste video igre za širenje malvera jer igre imaju široku korisničku bazu, a igrači su generalno skloni tome da poveruju da je ono što im se nudi legitimni softver. Taktike društvenog inženjeringa koje napadači koriste podstiču korisnike da preuzmu i pokrenu programe za instalaciju igara.

Takav jedan trojanizovani program za instalaciju popularne igre Super Mario 3: Mario Forever za Windows nedavno su otkrili istraživači iz kompanije Cyble.

Malveri koji se distribuiraju na ovakav način unovčavaju se kroz aktivnosti kao što je krađa osetljivih informacija, napadi ransomwarea i drugo.

Super Mario 3: Mario Forever je besplatan rimejk klasične Nintendo igre koju je razvio Buziol Games i objavljen za Windows platformu 2003. godine. Igra je postala veoma popularna, preuzeli su je milioni ljudi koji su je hvalili jer sadrži svu mehaniku klasične igre Mario, ali sa boljom grafikom i modernizovanim stilom i zvukom. Razvoj igre je nastavljen još jednu deceniju, tokom koje je izdato više verzija koje su donele ispravke grešaka i razna poboljšanja.

Istraživači iz Cyblea su, dakle, otkrili da sajber kriminalci distribuiraju modifikovani uzorak instalacionog programa Super Mario 3: Mario Forever, koji se distribuira kao samoraspakujuća arhiva.

Trojanizovana igra se verovatno promoviše na forumima za igre, u grupama na društvenim mrežama ili dolazi do korisnika preko zlonamernih oglasa (malvertajzing), crnog SEO-a itd.

Arhiva sadrži tri izvršna fajla, jedan koji instalira legitimnu igru („super-mario-forever-v702e.exe“) i dva druga, „java.exe“ i „atom.exe“, koji se diskretno instaliraju u AppData direktorijum na računaru žrtve tokom instalacije igre.

Fajl „java.exe“ je program za rudarenje kriptovalute Monero koji prikuplja informacije o hardveru žrtve i povezuje se sa serverom na „gulf[.]moneroocean[.]stream“ da bi započeo rudarenje.

SupremeBot („atom.exe“) pravi svoj duplikat i smešta kopiju u skrivenu fasciklu u instalacionom direktorijumu igre. Zatim, kreira zakazani zadatak za pokretanje kopije koja se pokreće svakih 15 minuta na neodređeno vreme, skrivajući se pod imenom legitimnog procesa.

Početni proces se prekida i originalni fajl se briše da bi se izbegla detekcija.

Malver zatim uspostavlja vezu sa serverom za komandu i kontrolu (C2), zbog registrovanja inficiranog računara, ali i da bi dobio konfiguraciju koja mu je potrebna da bi započeo rudarenje Monera.

Konačno, SupremeBot preuzima sa C2 fajl „wime.exe“. Taj fajl je Umbral Stealer, open-source alat za krađu informacija dostupan na GitHubu od aprila 2023. godine, koji krade podatke sa zaraženog Windows uređaja kao što su informacije sačuvane u veb pregledačima, lozinke i kolačiće koji sadrže tokene sesije, novčanike kriptovaluta i akreditive i tokene za autentifikaciju za Discord, Minecraft, Roblox i Telegram. Umbral Stealer takođe može da napravi skrinšotove Windows radne površine žrtve ili da koristi povezane veb kamere za snimanje videa. Svi ukradeni podaci se čuvaju lokalno pre eksfiltriranja na C2 server.

Umbral Stealer, ako je to moguće, dodaje svoj proces na Defenderovu listu izuzetaka čime izbegava detekciju.

Pored toga, on može da poremeti komunikaciju popularnih antivirusa sa sajtovima kompanija, ometajući tako njihov rad i efikasnost.

Oni koji su u skorije vreme preuzeli Super Mario 3: Mario Forever, trebalo bi da skeniraju svoj računar. Ako se otkrije malver, nakon što se ukloni, trebalo bi resetovati lozinke.


Foto: Cláudio Luiz Castro / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje

Špijunski malver za Android i iOS uređaje, sada ima i verziju za macOS

Špijunski malver za Android i iOS uređaje, sada ima i verziju za macOS

Stručnjaci firme ThreatFabric su upozorili na novu verziju malvera LightSpy, koja je dizajnirana za Appleove Mac računare. Ovo je vest zbog toga št... Dalje

Sajber kriminalci imaju novi malver koji može da opljačka svaki bankomat u Evropi

Sajber kriminalci imaju novi malver koji može da opljačka svaki bankomat u Evropi

Novi ATM malver za bankomate pojavio se u Evropi. Reč je o malveru koji se prodaje na jednom hakerskom forumu pod nazivom „EU ATM Malware&ldquo... Dalje

Novi malver sakriven u aplikaciji ''SpotifyMusicConverter'' inficira Mac računare

Novi malver sakriven u aplikaciji ''SpotifyMusicConverter'' inficira Mac računare

Mac računari su meta novog opasnog malvera nazvanog Cuckoo (Kukavica). Reč je o trojancu sakrivenom u legitimnom softveru kao što je Spotify, koji ... Dalje