user

Авторизация

Добро пожаловать!

Регистрация

Undefined666

IT безопасность

Игра Super Mario Bros, зараженная троянами, распространяет вредоносное ПО

 Исследователи наблюдали, как злоумышленники распространяли троянизированный установщик игры Super Mario Bros для доставки нескольких вредоносных программ. 

 Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили троянизированный установщик игры Super Mario Bros для Windows, который использовался для доставки нескольких вредоносных программ, включая майнер XMR, майнинг-клиент SupremeBot и похититель Umbral с открытым исходным кодом.

 Злоумышленники связали законный установочный файл super-mario-forever-v702e с вредоносными кодами. Исследователи указали, что злоумышленники нацелены на геймеров, потому что они часто используют для игр мощное оборудование, которое отлично подходит для майнинга криптовалют.

 Mario Forever — это клон оригинального Super Mario, который очень точно воссоздает классическую игру Nintendo.

 Злоумышленники подделали установочный файл NSIS «Super-Mario-Bros.exe», получившийся исполняемый файл включает три отдельных исполняемых файла:  «super-mario-forever-v702e.exe»,  который является законным игровым приложением Super Mario, а также с вредоносными исполняемыми файлами с именами  «java.exe»  и  «atom.exe»,  как показано ниже.

 При выполнении файла «Super-Mario-Bros.exe» он удаляет  исполняемый файл «super-mario-forever-v702e.exe»  в  каталоге %appdata%  и выполняет его. При выполнении файла отображается мастер установки, чтобы продолжить установку программы «super-mario-forever-v7.02».

 После успешной установки программного обеспечения запускается пользовательский интерфейс для игры Super Mario Forever. Однако майнер XMR (Monero) и майнинг-клиент SupremeBot выполняются в фоновом режиме.

Братья Супер Марио

 «При запуске «java.exe» вредоносное ПО устанавливает соединение с сервером майнинга «gulf[.]moneroocean[.]stream» для выполнения операций по добыче криптовалюты». — говорится в отчете , опубликованном Cyble. «Одновременно вредоносное ПО собирает ценные данные из системы жертвы, включая имя компьютера, имя пользователя, графический процессор, процессор и другие важные данные. Затем эта конфиденциальная информация передается на сервер управления и контроля (C&C) через следующий URL API: «hxxp://shadowlegion[.]duckdns[.]org/nam/api/endpoint[.]php»».

 При запуске SupremeBot («atom.exe») он создает свою копию и помещает копию в скрытую папку в каталоге установки игры.

 Затем «atom.exe»  инициирует выполнение команды запланированной задачи, которая создает новую запись запланированной задачи, которая запускается каждые 15 минут без даты окончания.

 Затем исполняемый файл завершает  процесс «atom.exe»  и удаляет связанный с ним файл из системы. После удаления сброшенный файл устанавливает соединение с C&C-сервером и отправляет ему системную информацию, регистрирует клиента и получает конфигурацию для майнера Monero.

 На последнем этапе атаки  «atom.exe»  извлекает исполняемый файл для кражи информации с именем  «wime.exe» с C2. Исполняемый файл распаковывает себя и загружает в память процесса вредоносное ПО с открытым исходным кодом Umbral Stealer.

 Вредоносная программа позволяет:

  • Захват скриншотов
  • Получение паролей браузера и файлов cookie
  • Захват изображений с веб-камеры
  • Получение файлов сеанса телеграммы и токенов дискорда
  • Получение файлов cookie Roblox и файлов сеанса Minecraft
  • Сбор файлов, связанных с криптовалютными кошельками.
Братья Супер Марио

 «Обширная и взаимосвязанная пользовательская база в игровом сообществе служит привлекательной целью для TA, стремящихся использовать уязвимости и выполнять различные вредоносные действия». заключает отчет. «Эта вредоносная кампания по добыче монет использует игру Super Mario Forever для геймеров и отдельных лиц, использующих высокопроизводительные вычислительные машины для игровых целей. Кроме того, вредоносное ПО также использует компонент кражи для незаконного получения конфиденциальной информации из систем жертв с целью получения дополнительной финансовой прибыли. Сочетание майнинга и кражи приводит к финансовым потерям, существенному снижению производительности системы жертвы и истощению ценных системных ресурсов».