Trojanizovana igra Super Mario inficira Windows računare

Opisi virusa, 26.06.2023, 08:30 AM

Trojanizovana igra Super Mario inficira Windows računare

Sajber kriminalci često koriste video igre za širenje malvera jer igre imaju široku korisničku bazu, a igrači su generalno skloni tome da poveruju da je ono što im se nudi legitimni softver. Taktike društvenog inženjeringa koje napadači koriste podstiču korisnike da preuzmu i pokrenu programe za instalaciju igara.

Takav jedan trojanizovani program za instalaciju popularne igre Super Mario 3: Mario Forever za Windows nedavno su otkrili istraživači iz kompanije Cyble.

Malveri koji se distribuiraju na ovakav način unovčavaju se kroz aktivnosti kao što je krađa osetljivih informacija, napadi ransomwarea i drugo.

Super Mario 3: Mario Forever je besplatan rimejk klasične Nintendo igre koju je razvio Buziol Games i objavljen za Windows platformu 2003. godine. Igra je postala veoma popularna, preuzeli su je milioni ljudi koji su je hvalili jer sadrži svu mehaniku klasične igre Mario, ali sa boljom grafikom i modernizovanim stilom i zvukom. Razvoj igre je nastavljen još jednu deceniju, tokom koje je izdato više verzija koje su donele ispravke grešaka i razna poboljšanja.

Istraživači iz Cyblea su, dakle, otkrili da sajber kriminalci distribuiraju modifikovani uzorak instalacionog programa Super Mario 3: Mario Forever, koji se distribuira kao samoraspakujuća arhiva.

Trojanizovana igra se verovatno promoviše na forumima za igre, u grupama na društvenim mrežama ili dolazi do korisnika preko zlonamernih oglasa (malvertajzing), crnog SEO-a itd.

Arhiva sadrži tri izvršna fajla, jedan koji instalira legitimnu igru („super-mario-forever-v702e.exe“) i dva druga, „java.exe“ i „atom.exe“, koji se diskretno instaliraju u AppData direktorijum na računaru žrtve tokom instalacije igre.

Fajl „java.exe“ je program za rudarenje kriptovalute Monero koji prikuplja informacije o hardveru žrtve i povezuje se sa serverom na „gulf[.]moneroocean[.]stream“ da bi započeo rudarenje.

SupremeBot („atom.exe“) pravi svoj duplikat i smešta kopiju u skrivenu fasciklu u instalacionom direktorijumu igre. Zatim, kreira zakazani zadatak za pokretanje kopije koja se pokreće svakih 15 minuta na neodređeno vreme, skrivajući se pod imenom legitimnog procesa.

Početni proces se prekida i originalni fajl se briše da bi se izbegla detekcija.

Malver zatim uspostavlja vezu sa serverom za komandu i kontrolu (C2), zbog registrovanja inficiranog računara, ali i da bi dobio konfiguraciju koja mu je potrebna da bi započeo rudarenje Monera.

Konačno, SupremeBot preuzima sa C2 fajl „wime.exe“. Taj fajl je Umbral Stealer, open-source alat za krađu informacija dostupan na GitHubu od aprila 2023. godine, koji krade podatke sa zaraženog Windows uređaja kao što su informacije sačuvane u veb pregledačima, lozinke i kolačiće koji sadrže tokene sesije, novčanike kriptovaluta i akreditive i tokene za autentifikaciju za Discord, Minecraft, Roblox i Telegram. Umbral Stealer takođe može da napravi skrinšotove Windows radne površine žrtve ili da koristi povezane veb kamere za snimanje videa. Svi ukradeni podaci se čuvaju lokalno pre eksfiltriranja na C2 server.

Umbral Stealer, ako je to moguće, dodaje svoj proces na Defenderovu listu izuzetaka čime izbegava detekciju.

Pored toga, on može da poremeti komunikaciju popularnih antivirusa sa sajtovima kompanija, ometajući tako njihov rad i efikasnost.

Oni koji su u skorije vreme preuzeli Super Mario 3: Mario Forever, trebalo bi da skeniraju svoj računar. Ako se otkrije malver, nakon što se ukloni, trebalo bi resetovati lozinke.


Foto: Cláudio Luiz Castro / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka... Dalje

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje