流行的 Windows 版《超级马里奥 3:永远的马里奥》游戏的木马安装程序已经让毫无戒心的玩家感染了多种恶意软件。
《超级马里奥 3:永远的马里奥》是由 Buziol Games 开发并于 2003 年在 Windows 平台上发布的经典任天堂游戏的免费重制版。
该游戏变得非常受欢迎,下载量达数百万人,人们称赞它具有经典马里奥系列的所有机制,但具有更新的图形和现代化的造型和声音。
游戏的开发又持续了十年,发布了多个后续版本,修复了错误并进行了改进。如今,它仍然是后现代的经典。
超级马里奥 3:永远的马里奥 (Cyble)
瞄准游戏玩家Cyble的研究人员发现(https://blog.cyble.com/2023/06/23/trojanized-super-mario-game-installer-spreads-supremebot-malware/),攻击者正在分发《超级马里奥 3:永远的马里奥》安装程序的修改版本,并通过未知渠道作为自解压存档可执行文件进行分发。
该木马游戏可能会在游戏论坛、社交媒体群组上进行推广,或通过恶意广告、黑色 SEO 等方式推送给用户。
该存档包含三个可执行文件,其中一个用于安装合法的 Mario 游戏(“super-mario-forever-v702e.exe”),另外两个“java.exe”和“atom.exe”则被谨慎地安装到受害者的 AppData 上游戏安装时的目录。
文件投放到受害者的磁盘上 (Cyble)
一旦恶意可执行文件进入磁盘,安装程序就会执行它们来运行 XMR (Monero) 挖矿程序和 SupremeBot 挖矿客户端。
木马安装程序 (Cyble)
“java.exe”文件是一个门罗币矿工,它收集有关受害者硬件的信息并连接到“gulf[.]moneroocean[.]stream”的挖矿服务器进行门罗币挖矿。
SupremeBot(“atom.exe”)创建自身的副本,并将副本放置在游戏安装目录的隐藏文件夹中。
接下来,它创建一个计划任务来执行每 15 分钟无限期运行的副本,隐藏在合法进程的名称下。
终止初始进程并删除原始文件以逃避检测。然后恶意软件建立C2连接来传输信息、注册客户端并接收挖掘配置以开始挖掘门罗币。
最后,SupremeBot 从 C2 检索额外的有效负载,以名为“wime.exe”的可执行文件形式到达。
完整的感染链 (Cyble)
最后一个文件是 Umbral Stealer,它是一个开源 C# 信息窃取程序,自 2023 年 4 月起在 GitHub 上提供,它可以从受感染的 Windows 设备中窃取数据。
这些被盗数据包括存储在网络浏览器中的信息,例如存储的密码和包含会话令牌的 cookie、加密货币钱包以及 Discord、Minecraft、Roblox 和 Telegram 的凭证和身份验证令牌。
Umbral Stealer 功能总结 (Cyble)
Umbral Stealer 还可以创建受害者 Windows 桌面的屏幕截图或使用连接的网络摄像头捕获视频。所有被盗数据在上传到 C2 服务器之前都存储在本地。
如果未启用篡改保护,信息窃取程序能够通过禁用该程序来逃避 Windows Defender。如果没有,它将其进程添加到 Defender 的排除列表中。
此外,该恶意软件还会修改 Windows 主机文件(hosts),以阻止流行防病毒产品与服务器站点的通信,从而阻止其正常运行和有效性。
将安全软件站点的 IP 设置为 0.0.0.0 (Cyble)
如果您最近下载了《超级马里奥 3:永远的马里奥》,应该扫描计算机中是否安装了恶意软件,并删除检测到的任何恶意软件。
如果检测到恶意软件,您应该在敏感站点(例如银行、金融、加密货币和电子邮件站点)重置密码。重置密码时,请在每个站点使用唯一的密码,并使用密码管理器来存储它们。
同样重要的是要记住,在下载游戏或任何软件时,请确保从发行商网站或值得信赖的数字内容分发平台等官方来源进行下载。
在启动下载的可执行文件之前,请始终使用防病毒软件对其进行扫描,并保持安全工具最新。
参考链接:https://www.bleepingcomputer.com/news/security/trojanized-super-mario-game-used-to-install-windows-malware/
