超級瑪利歐木馬化　散播惡意軟體

編譯／Cynthia

近期研究人員發現，有駭客利用木馬化的超級瑪利歐兄弟遊戲安裝程式，散播多種惡意軟體。這項研究由Cyble研究與情報實驗室（Cyble Research and Intelligence Labs，CRIL）進行，他們發現這個針對Windows平台的安裝程式，被用來傳送包括XMR挖礦程式、SupremeBot挖礦客戶端以及Umbral Stealer等多種惡意軟體。

駭客將合法的「永遠的超級瑪利歐」（Mario Forever）遊戲安裝程式與惡意程式碼結合，特別針對遊戲玩家，是因為他們通常使用強大的硬體進行遊戲的破關，這對於進行加密貨幣挖礦非常有利。駭客篡改NSIS安裝程式檔案（Super-Mario-Bros.exe），生成三個獨立的執行檔，分別是合法的超級瑪利歐遊戲應用程式（super-mario-forever-v702e.exe），以及兩個惡意執行檔（java.exe、atom.exe）。

當玩家執行Super-Mario-Bros.exe檔案時，自動將super-mario-forever-v702e.exe執行檔丟棄在「%appdata%」目錄中並執行它。在執行過程中，會顯示一個安裝精靈，用於進行super-mario-forever-v7.02程式安裝，成功後會啟動「永遠的超級瑪利歐」的使用者介面。然而，XMR（門羅幣）挖礦程式和SupremeBot挖礦客戶端在後台被執行。

根據Cyble發布的報告指出，執行java.exe後，惡意軟體與挖礦伺服器（gulf[.]moneroocean[.]stream）建立連接，進行加密貨幣挖礦活動。同時，惡意軟體還從受害者系統中收集有價值的資料，包括電腦名稱、用戶名、GPU、CPU等相關資訊，這些敏感資料通過URL API傳送到命令與控制（C&C）伺服器

另一方面，當執行SupremeBot（atom.exe）時，會創建副本並放置在遊戲安裝目錄中的隱藏資料夾。而惡意執行檔會啟動定時任務指令，其指令以每15分鐘運行一次且沒有結束日期的新定時任務。終止進程後，其會從系統中刪除相關的檔案，並將被丟棄的檔案將與C&C伺服器建立連接，傳送系統資訊、註冊客戶端並接收門羅幣挖礦程式的設定。在攻擊最後階段，atom.exe從C&C伺服器擷取wime.exe的資料竊取執行檔，並將惡意軟體Umbral Stealer加載到進程記憶體中。該惡意軟體可擷取螢幕截圖、擷取瀏覽器密碼和Cookie、擷取網路攝影機影像、獲取Telegram會話檔案和Discord令牌、獲取Roblox Cookie和Minecraft會話檔案、收集與加密貨幣錢包相關的檔案等六大項資料。

這項研究報告指出，駭客利用「永遠的超級瑪利歐」遊戲針對遊戲玩家和使用高性能電腦進行遊戲的人。此外，該惡意軟體還部署駭客相關竊取套件，非法獲取受害者系統中的敏感資料，主要在獲取額外的經濟利益。挖礦和竊取活動的結合導致財務損失、系統性能下降以及有價值的系統資源消耗。提醒遊戲用戶應保持警惕，確保下載遊戲和軟體時從可靠的來源獲取。此外，安全知識教育和使用防毒軟體等措施也非常重要，可以保護個人和系統免受此類威脅的影響。

資料來源：Security Affairs

瀏覽 1,169 次