Gra Super Mario z zainfekowanym instalatorem do rozprzestrzeniania malware na Windowsie

Instalator gry Super Mario 3: Mario Forever, który został zainfekowany przez trojana, stanowi zagrożenie dla użytkowników Windows, instalując na ich komputerach różnorodne rodzaje malware.

  • Monika Świetlińska
  • /
  • 28 czerwca 2023

Super Mario 3: Mario Forever jest bezpłatnym remake'em kultowej gry od Nintendo, stworzonym przez Buziol Games. Gra została wydana na system Windows w 2003 roku. 

Nowe złośliwe oprogramowanie atakuje przeglądarkiNowe złośliwe oprogramowanie atakuje przeglądarkiDamian Jemioło

Cieszyła się ogromną popularnością, zdobywając uznanie graczy za wierność oryginalnej mechanice serii Mario, przy jednoczesnym odświeżeniu grafiki oraz dźwięków. Przez dziesięć lat od wydania, gra była rozwijana, co zaowocowało różnymi aktualizacjami i ulepszeniami. Obecnie uważana jest za postmodernistyczną klasykę.

Reklamy ukierunkowane na graczy

Analitycy z firmy Cyble odkryli, że hakerzy rozpowszechniają zmodyfikowaną wersję instalatora Super Mario 3: Mario Forever, która jest udostępniana jako samorozpakowujący się plik wykonywalny, dystrybuowany za pośrednictwem niezidentyfikowanych kanałów. Zainfekowany instalator prawdopodobnie jest reklamowany na forach dla graczy, w grupach na portalach społecznościowych lub przekazywany użytkownikom za pośrednictwem złośliwych reklam i technik blackhat SEO.

Jaki jest system działania?

Zawiera trzy pliki wykonywalne – jeden, który instaluje prawdziwą grę Mario ("super-mario-forever-v702e.exe"), oraz dwa pozostałe, "java.exe" i "atom.exe", które są instalowane w ukryciu w folderze AppData użytkownika.

Po umieszczeniu złośliwych plików wykonywalnych na dysku twardym, instalator uruchamia je, włączając w ten sposób górnika kryptowaluty Monero (XMR) oraz klienta wydobywczego o nazwie SupremeBot.

Fałszywe aplikacje na Androida szpiegują użytkownikówFałszywe aplikacje na Androida szpiegują użytkownikówDamian Jemioło

Plik "java.exe" działa jako górnik Monero, zbierając informacje o sprzęcie ofiary i łącząc się z serwerem wydobywczym pod adresem "gulf[.] Moneroocean[.] stream", aby rozpocząć proces wydobywania kryptowaluty. Z kolei SupremeBot ("atom.exe") tworzy kopię siebie i umieszcza ją w ukrytym folderze. 

Następnie ustala harmonogram uruchamiania tej kopii co 15 minut. Po zakończeniu tego procesu, oryginalny plik jest usuwany w celu uniknięcia wykrycia. Malware nawiązuje połączenie z serwerem C2, przesyłając informacje, rejestrację klienta i odbierając konfigurację dla procesu wydobywania. Wreszcie, SupremeBot pobiera dodatkowy składnik z serwera C2, który pojawia się jako plik wykonywalny nazwany "wime.exe".

Dodatkowo, złośliwe oprogramowanie zwane Umbral Stealer ma zdolność do robienia zrzutów ekranu z systemu ofiary oraz korzystania z kamer internetowych do przechwytywania danych multimedialnych. Wszystkie skradzione informacje są przechowywane lokalnie przed ich przesłaniem do serwera C2.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Umbral Stealer jest również w stanie ominąć zabezpieczenia Windows Defender, dezaktywując je, jeśli nie są włączone odpowiednie środki ochrony. Jeśli to nie jest możliwe, dodaje swoje procesy do listy wyjątków Defendera. Co więcej, złośliwe oprogramowanie modyfikuje plik hosts w systemie Windows, zakłócając komunikację popularnych antywirusów z oficjalnymi stronami, co osłabia ich skuteczność.

Zalecenia, jeśli pobrałeś ostatnio tę grę

Jeśli niedawno pobrałeś Super Mario 3: Mario Forever, zaleca się przeprowadzenie pełnego skanowania komputera w celu wykrycia i usunięcia wszelkiego złośliwego oprogramowania. W razie wykrycia malware, zaleca się również zmianę haseł na stronach, które mogą zawierać wrażliwe dane, takie jak bankowość, finanse, kryptowaluty oraz e-mail. Zaleca się użycie unikalnych haseł dla każdej strony oraz korzystanie z menedżera haseł do ich przechowywania.

Routery Asusa mają problem. Pojawiła się aktualizacja?Routery Asusa mają problem. Pojawiła się aktualizacja?Damian Jemioło

Kluczowe jest pamiętanie o pobieraniu gier i oprogramowania wyłącznie z zaufanych źródeł, takich jak oficjalne strony wydawców lub renomowane platformy dystrybucji cyfrowej. Zawsze warto skanować pobrane pliki wykonywalne przy użyciu oprogramowania antywirusowego przed ich uruchomieniem i regularnie aktualizować narzędzia zabezpieczające.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: bezpieczeństwo w sieci antywirus android przeglądarki
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!