Исследователи Cyble обнаружили троянизированный установщик игры Super Mario 3: Mario Forever для Windows, который заражал ничего не подозревающих игроков многочисленными вредоносами.
Super Mario 3: Mario Forever — это бесплатная версия классической игры Nintendo, разработанная Buziol Games и выпущенная для Windows в 2003 году. С тех пор разработка игры продолжалась, было выпущено несколько версий с исправлениями ошибок и улучшениями, и сегодня игра по-прежнему популярна и считается классикой.
Эксперты из компании Cyble обнаружили, что злоумышленники создали модифицированный установщик Super Mario 3: Mario Forever, который представлен в виде самораспаковывающегося исполняемого архива и распространяется по неизвестным каналам. Скорее всего, зараженная игра рекламируется на игровых форумах, в социальных сетях или предлагается пользователям с помощью вредоносной рекламы, черного SEO и так далее.
Архив содержит три исполняемых файла, один из которых устанавливает саму игру (super-mario-forever-v702e.exe), а два других (java.exe и atom.exe) незаметно устанавливаются в каталог AppData во время установки игры.
Как только вредоносные исполняемые файлы попадают на диск, установщик запускает их для запуска майнера XMR (Monero) и майнингового клиента SupremeBot.
Файл java.exe представляет собой майнер криптовалюты Monero, который собирает информацию об оборудовании жертвы и подключается к серверу gulf[.]moneroocean[.]stream, чтобы начать работу.
SupremeBot (atom.exe) создает свою копию и помещает ее в скрытую папку в каталоге установки игры. Далее он создает запланированную задачу на выполнение этой копии, которая запускается каждые 15 минут на неопределенный срок, скрываясь под именем легитимного процесса.
При этом исходный процесс завершается, а исходный файл удаляется, чтобы избежать обнаружения. Затем малварь устанавливает соединение с управляющим сервером для передачи данных о системе, регистрации клиента и получения конфигурации, чтобы начать добычу Monero. После этого SupremeBot также получает дополнительную полезную нагрузку от сервера (в виде исполняемого файла с именем wime.exe).
Этот последний файл представляет собой опенсорсный инфостилер Umbral Stealer, написанный на C# и доступный на GitHub с апреля 2023 года. Он ворует с зараженного устройства информацию, хранящуюся в браузерах, включая сохраненные пароли и файлы cookie, содержащие токены сеансов, данные криптовалютных кошельков, а также учетные данные и токены аутентификации для Discord, Minecraft, Roblox и Telegram.
Кроме того, Umbral Stealer может обойти Windows Defender, отключив программу, если не включена защита от несанкционированного доступа. В противном случае он добавляет себя в список исключений. Еще малварь модифицирует файл hosts, чтобы нарушить работу популярных антивирусных продуктов и сайтов соответствующих компаний, препятствуя нормальной работе.
Также стилер способен создавать скриншоты рабочего стола жертвы и использовать подключенные к системе веб-камеры. Перед отправкой на сервер злоумышленников все украденные данные хранятся локально.
Исследователи рекомендуют всем, кто недавно скачивал Super Mario 3: Mario Forever, проверить свой компьютер на наличие установленных вредоносных программ и удалить их, если таковые будут обнаружены.