Trojanizovana igra Super Mario inficira Windows računare

Opisi virusa, 26.06.2023, 08:30 AM

Trojanizovana igra Super Mario inficira Windows računare

Sajber kriminalci često koriste video igre za širenje malvera jer igre imaju široku korisničku bazu, a igrači su generalno skloni tome da poveruju da je ono što im se nudi legitimni softver. Taktike društvenog inženjeringa koje napadači koriste podstiču korisnike da preuzmu i pokrenu programe za instalaciju igara.

Takav jedan trojanizovani program za instalaciju popularne igre Super Mario 3: Mario Forever za Windows nedavno su otkrili istraživači iz kompanije Cyble.

Malveri koji se distribuiraju na ovakav način unovčavaju se kroz aktivnosti kao što je krađa osetljivih informacija, napadi ransomwarea i drugo.

Super Mario 3: Mario Forever je besplatan rimejk klasične Nintendo igre koju je razvio Buziol Games i objavljen za Windows platformu 2003. godine. Igra je postala veoma popularna, preuzeli su je milioni ljudi koji su je hvalili jer sadrži svu mehaniku klasične igre Mario, ali sa boljom grafikom i modernizovanim stilom i zvukom. Razvoj igre je nastavljen još jednu deceniju, tokom koje je izdato više verzija koje su donele ispravke grešaka i razna poboljšanja.

Istraživači iz Cyblea su, dakle, otkrili da sajber kriminalci distribuiraju modifikovani uzorak instalacionog programa Super Mario 3: Mario Forever, koji se distribuira kao samoraspakujuća arhiva.

Trojanizovana igra se verovatno promoviše na forumima za igre, u grupama na društvenim mrežama ili dolazi do korisnika preko zlonamernih oglasa (malvertajzing), crnog SEO-a itd.

Arhiva sadrži tri izvršna fajla, jedan koji instalira legitimnu igru („super-mario-forever-v702e.exe“) i dva druga, „java.exe“ i „atom.exe“, koji se diskretno instaliraju u AppData direktorijum na računaru žrtve tokom instalacije igre.

Fajl „java.exe“ je program za rudarenje kriptovalute Monero koji prikuplja informacije o hardveru žrtve i povezuje se sa serverom na „gulf[.]moneroocean[.]stream“ da bi započeo rudarenje.

SupremeBot („atom.exe“) pravi svoj duplikat i smešta kopiju u skrivenu fasciklu u instalacionom direktorijumu igre. Zatim, kreira zakazani zadatak za pokretanje kopije koja se pokreće svakih 15 minuta na neodređeno vreme, skrivajući se pod imenom legitimnog procesa.

Početni proces se prekida i originalni fajl se briše da bi se izbegla detekcija.

Malver zatim uspostavlja vezu sa serverom za komandu i kontrolu (C2), zbog registrovanja inficiranog računara, ali i da bi dobio konfiguraciju koja mu je potrebna da bi započeo rudarenje Monera.

Konačno, SupremeBot preuzima sa C2 fajl „wime.exe“. Taj fajl je Umbral Stealer, open-source alat za krađu informacija dostupan na GitHubu od aprila 2023. godine, koji krade podatke sa zaraženog Windows uređaja kao što su informacije sačuvane u veb pregledačima, lozinke i kolačiće koji sadrže tokene sesije, novčanike kriptovaluta i akreditive i tokene za autentifikaciju za Discord, Minecraft, Roblox i Telegram. Umbral Stealer takođe može da napravi skrinšotove Windows radne površine žrtve ili da koristi povezane veb kamere za snimanje videa. Svi ukradeni podaci se čuvaju lokalno pre eksfiltriranja na C2 server.

Umbral Stealer, ako je to moguće, dodaje svoj proces na Defenderovu listu izuzetaka čime izbegava detekciju.

Pored toga, on može da poremeti komunikaciju popularnih antivirusa sa sajtovima kompanija, ometajući tako njihov rad i efikasnost.

Oni koji su u skorije vreme preuzeli Super Mario 3: Mario Forever, trebalo bi da skeniraju svoj računar. Ako se otkrije malver, nakon što se ukloni, trebalo bi resetovati lozinke.


Foto: Cláudio Luiz Castro / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Istraživači iz firme Kandji upozorili su na TodoSwift, zlonamernu dropper aplikaciju koja se maskira kao program za preuzimanje PDF-ova. Njihov izve... Dalje