超級瑪利歐木馬化 散播惡意軟體
編譯/Cynthia
近期研究人員發現,有駭客利用木馬化的超級瑪利歐兄弟遊戲安裝程式,散播多種惡意軟體。這項研究由Cyble研究與情報實驗室(Cyble Research and Intelligence Labs,CRIL)進行,他們發現這個針對Windows平台的安裝程式,被用來傳送包括XMR挖礦程式、SupremeBot挖礦客戶端以及Umbral Stealer等多種惡意軟體。
駭客將合法的「永遠的超級瑪利歐」(Mario Forever)遊戲安裝程式與惡意程式碼結合,特別針對遊戲玩家,是因為他們通常使用強大的硬體進行遊戲的破關,這對於進行加密貨幣挖礦非常有利。駭客篡改NSIS安裝程式檔案(Super-Mario-Bros.exe),生成三個獨立的執行檔,分別是合法的超級瑪利歐遊戲應用程式(super-mario-forever-v702e.exe),以及兩個惡意執行檔(java.exe、atom.exe)。
當玩家執行Super-Mario-Bros.exe檔案時,自動將super-mario-forever-v702e.exe執行檔丟棄在「%appdata%」目錄中並執行它。在執行過程中,會顯示一個安裝精靈,用於進行super-mario-forever-v7.02程式安裝,成功後會啟動「永遠的超級瑪利歐」的使用者介面。然而,XMR(門羅幣)挖礦程式和SupremeBot挖礦客戶端在後台被執行。
根據Cyble發布的報告指出,執行java.exe後,惡意軟體與挖礦伺服器(gulf[.]moneroocean[.]stream)建立連接,進行加密貨幣挖礦活動。同時,惡意軟體還從受害者系統中收集有價值的資料,包括電腦名稱、用戶名、GPU、CPU等相關資訊,這些敏感資料通過URL API傳送到命令與控制(C&C)伺服器
另一方面,當執行SupremeBot(atom.exe)時,會創建副本並放置在遊戲安裝目錄中的隱藏資料夾。而惡意執行檔會啟動定時任務指令,其指令以每15分鐘運行一次且沒有結束日期的新定時任務。終止進程後,其會從系統中刪除相關的檔案,並將被丟棄的檔案將與C&C伺服器建立連接,傳送系統資訊、註冊客戶端並接收門羅幣挖礦程式的設定。在攻擊最後階段,atom.exe從C&C伺服器擷取wime.exe的資料竊取執行檔,並將惡意軟體Umbral Stealer加載到進程記憶體中。該惡意軟體可擷取螢幕截圖、擷取瀏覽器密碼和Cookie、擷取網路攝影機影像、獲取Telegram會話檔案和Discord令牌、獲取Roblox Cookie和Minecraft會話檔案、收集與加密貨幣錢包相關的檔案等六大項資料。
這項研究報告指出,駭客利用「永遠的超級瑪利歐」遊戲針對遊戲玩家和使用高性能電腦進行遊戲的人。此外,該惡意軟體還部署駭客相關竊取套件,非法獲取受害者系統中的敏感資料,主要在獲取額外的經濟利益。挖礦和竊取活動的結合導致財務損失、系統性能下降以及有價值的系統資源消耗。提醒遊戲用戶應保持警惕,確保下載遊戲和軟體時從可靠的來源獲取。此外,安全知識教育和使用防毒軟體等措施也非常重要,可以保護個人和系統免受此類威脅的影響。
資料來源:Security Affairs
瀏覽 1,255 次