Игра Mario Forever может стать самой дорогой для каждого игрока.
Исследователи из Cyble Research and Intelligence Labs (CRIL) Для просмотра ссылки Войдиили Зарегистрируйся троянизированный установщик игры Super Mario Bros для Windows, который использовался для доставки нескольких вредоносных программ, включая майнер Monero (XMR), майнинг-клиент SupremeBot и инфостилер Umbral Stealer с открытым исходным кодом.
Злоумышленники связали легитимный установочный файл «super-mario-forever-v702e» с вредоносными кодами. Исследователи указали, что хакеры нацелены на геймеров, потому что они часто используют для игр мощное оборудование, которое отлично подходит для майнинга криптовалют. Mario Forever — это клон оригинального Super Mario, который очень точно воссоздает классическую игру.
Экспертам неизвестно, каким образом распространяется файл. Скорее всего, троянская игра рекламируется на игровых форумах, в группах в соцсетях или показывается пользователям с помощью вредоносной рекламы, черного SEO и т. д.
Архив с игрой содержит 3 исполняемых файла, один из которых устанавливает игру Mario («super-mario-forever-v702e.exe»), а два других, «java.exe» и «atom.exe», незаметно устанавливаются в каталог «AppData» во время установки игры.
Содержание архива
XMRMiner собирает информацию об оборудовании жертвы и подключается к майнинг-серверу, чтобы начать майнинг.
SupremeBot создает свою копию и помещает ее в скрытую папку в каталоге установки игры. Далее майнер создает запланированную задачу на выполнение копии, которая запускается каждые 15 минут на неопределенный срок, скрываясь под именем легитимного процесса.
Первоначальный процесс завершается, а исходный файл удаляется, чтобы избежать обнаружения. Затем вредоносное ПО устанавливает соединение с C2-сервером для передачи информации, регистрации клиента и получения конфигурации майнинга, чтобы начать добычу Monero.
Главное меню игры Mario Forever
На последнем этапе атаки SupremeBot получает дополнительную полезную нагрузку от C2-сервера в виде исполняемого файла с именем «wime.exe». Исполняемый файл распаковывает себя и загружает в память процесса инфостилер с открытым исходным кодом Umbral Stealer, Для просмотра ссылки Войдиили Зарегистрируйся с апреля 2023 года. Umbral Stealer выполняет следующие действия:
Кроме того, вредоносное ПО модифицирует файл «hosts», чтобы нарушить связь популярных антивирусных продуктов с сайтами компаний, препятствуя их нормальной работе и эффективности.
Цепочка заражения
Вредоносная кампания по добыче криптовалюты использует игру Super Mario Forever в ходе атак на геймеров и отдельных лиц, использующих высокопроизводительные устройства. Кроме того, вредоносное ПО также использует инфостилер для сбора конфиденциальной информации из систем жертв с целью получения дополнительной финансовой прибыли. Сочетание майнинга и кражи приводит к финансовым потерям, существенному снижению производительности системы жертвы и истощению ценных системных ресурсов.
Исследователи из Cyble Research and Intelligence Labs (CRIL) Для просмотра ссылки Войди
Злоумышленники связали легитимный установочный файл «super-mario-forever-v702e» с вредоносными кодами. Исследователи указали, что хакеры нацелены на геймеров, потому что они часто используют для игр мощное оборудование, которое отлично подходит для майнинга криптовалют. Mario Forever — это клон оригинального Super Mario, который очень точно воссоздает классическую игру.
Экспертам неизвестно, каким образом распространяется файл. Скорее всего, троянская игра рекламируется на игровых форумах, в группах в соцсетях или показывается пользователям с помощью вредоносной рекламы, черного SEO и т. д.
Архив с игрой содержит 3 исполняемых файла, один из которых устанавливает игру Mario («super-mario-forever-v702e.exe»), а два других, «java.exe» и «atom.exe», незаметно устанавливаются в каталог «AppData» во время установки игры.
Содержание архива
XMRMiner собирает информацию об оборудовании жертвы и подключается к майнинг-серверу, чтобы начать майнинг.
SupremeBot создает свою копию и помещает ее в скрытую папку в каталоге установки игры. Далее майнер создает запланированную задачу на выполнение копии, которая запускается каждые 15 минут на неопределенный срок, скрываясь под именем легитимного процесса.
Первоначальный процесс завершается, а исходный файл удаляется, чтобы избежать обнаружения. Затем вредоносное ПО устанавливает соединение с C2-сервером для передачи информации, регистрации клиента и получения конфигурации майнинга, чтобы начать добычу Monero.
Главное меню игры Mario Forever
На последнем этапе атаки SupremeBot получает дополнительную полезную нагрузку от C2-сервера в виде исполняемого файла с именем «wime.exe». Исполняемый файл распаковывает себя и загружает в память процесса инфостилер с открытым исходным кодом Umbral Stealer, Для просмотра ссылки Войди
- Создание скриншотов;
- Получение паролей браузера и cookie-файлов;
- Захват изображений с веб-камеры;
- Получение файлов сеанса Telegram и токенов Discord;
- Получение cookie-файлов из игры Roblox и файлов сеанса Minecraft;
- Сбор данных криптовалютных кошельков.
Кроме того, вредоносное ПО модифицирует файл «hosts», чтобы нарушить связь популярных антивирусных продуктов с сайтами компаний, препятствуя их нормальной работе и эффективности.
Цепочка заражения
Вредоносная кампания по добыче криптовалюты использует игру Super Mario Forever в ходе атак на геймеров и отдельных лиц, использующих высокопроизводительные устройства. Кроме того, вредоносное ПО также использует инфостилер для сбора конфиденциальной информации из систем жертв с целью получения дополнительной финансовой прибыли. Сочетание майнинга и кражи приводит к финансовым потерям, существенному снижению производительности системы жертвы и истощению ценных системных ресурсов.
- Источник новости
- www.securitylab.ru