小心《超级马里奥》这款游戏,有黑客正在传播其木马化版本
新闻资讯
2023-07-02 18:03
56
0
根据网络安全公司Cyble研究与情报实验室(CRIL)的官网博客,其研究人员新发现了一种针对Windows系统的木马化《超级马里奥兄弟3》游戏安装程序,用于传播多种恶意软件,包括XMR(Monero,门罗币)矿工、SupremeBot挖矿客户端和Umbral Stealer信息窃取器。《Super Mario 3: Mario Forever》是由Buziol Games开发的任天堂经典游戏的重制版,于2003年发布在Windows平台上。由于其在保留了经典马里奥系列的所有机制的同时,还更新了图形和现代化的风格和音效,受到了大众的欢迎,下载量数以百万计。该游戏的开发持续十年之久,发布过多个版本以修复错误并进行改进。
研究人员指出,攻击者之所以喜欢针对游戏玩家,是因为这部分用户为获取良好的游玩体验其设备硬件通常比较优秀,而这对于挖掘加密货币同样非常有利。
黑客篡改了NSIS安装程序文件“Super-Mario-Bros.exe”,将“super-mario-forever-v702e”合法安装程序文件与恶意代码捆绑在一起,另外两个可执行文件“java.exe”和“atom.exe”在安装游戏过程中会静默安装到受害者的AppData目录中。“java.exe”文件是一个Monero矿工,它会收集受害者的硬件信息,并连接到“gulf[.]moneroocean[.]stream”挖矿服务器开始挖矿。“atom.exe”则是一个SupremeBot挖矿客户端,它每15分钟无限期运行一次,与C&C服务器建立连接接收挖矿配置以开始挖掘门罗币。并且,它还会从C&C服务器获取一个 “wime.exe”文件。“wime.exe”即为Umbral Stealer信息窃取工具,它窃取的数据包括:存储在网络浏览器中的信息(如存储的密码和包含会话令牌的Cookie)、与加密货币钱包相关的文件、即时通讯应用的会话文件和身份验证令牌。除此之外,它还会实施对受害者的屏幕截图、连接网络摄像头等恶意行为。该信息窃取工具能够通过禁用Windows Defender来规避检测,此外,它还会修改Windows hosts文件,阻碍流行的杀毒软件与公司网站的通信,以阻止其正常运作。安全研究员提醒大家,这款木马化游戏可能会在游戏论坛、社交媒体上进行推广,或通过恶意广告、黑帽SEO等方式推送给用户。假如大家最近下载了《Super Mario 3: Mario Forever》,应即时对计算机进行扫描,并删除检测到的任何恶意软件。若不幸被感染,应立即对重要的账户重置密码。平时也需要注意,在下载游戏或是任何其他软件时,尽量从官方或可信的平台下载。在启动之前,最好确保已经过杀毒软件扫描,并注意保持安全工具的更新。编辑:左右里
资讯来源:Cyble
转载请注明出处和本文链接
C2 全称为 Command and Control,命令与控制,常见于 APT 攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解释时理解为攻击者的“基础设施”。
文章引用微信公众号"看雪学苑",如有侵权,请联系管理员删除!