В сети распространяется новая версия игры Mario со встроенным криптомайнером

Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили троянизированный установщик игры Super Mario Bros для Windows, который использовался для доставки нескольких вредоносных программ, включая майнер Monero (XMR), майнинг-клиент SupremeBot и инфостилер Umbral Stealer с открытым исходным кодом.

Злоумышленники связали легитимный установочный файл «super-mario-forever-v702e» с вредоносными кодами. Исследователи указали, что хакеры нацелены на геймеров, потому что они часто используют для игр мощное оборудование, которое отлично подходит для майнинга криптовалют. Mario Forever — это клон оригинального Super Mario, который очень точно воссоздает классическую игру.

Экспертам неизвестно, каким образом распространяется файл. Скорее всего, троянская игра рекламируется на игровых форумах, в группах в соцсетях или показывается пользователям с помощью вредоносной рекламы, черного SEO и т. д.

Архив с игрой содержит 3 исполняемых файла, один из которых устанавливает игру Mario («super-mario-forever-v702e.exe»), а два других, «java.exe» и «atom.exe», незаметно устанавливаются в каталог «AppData» во время установки игры.

Содержание архива

XMRMiner собирает информацию об оборудовании жертвы и подключается к майнинг-серверу, чтобы начать майнинг.

SupremeBot создает свою копию и помещает ее в скрытую папку в каталоге установки игры. Далее майнер создает запланированную задачу на выполнение копии, которая запускается каждые 15 минут на неопределенный срок, скрываясь под именем легитимного процесса.

Первоначальный процесс завершается, а исходный файл удаляется, чтобы избежать обнаружения. Затем вредоносное ПО устанавливает соединение с C2-сервером для передачи информации, регистрации клиента и получения конфигурации майнинга, чтобы начать добычу Monero.

Главное меню игры Mario Forever

На последнем этапе атаки SupremeBot получает дополнительную полезную нагрузку от C2-сервера в виде исполняемого файла с именем «wime.exe». Исполняемый файл распаковывает себя и загружает в память процесса инфостилер с открытым исходным кодом Umbral Stealer, доступный на GitHub с апреля 2023 года. Umbral Stealer выполняет следующие действия:

• Создание скриншотов;
• Получение паролей браузера и cookie-файлов;
• Захват изображений с веб-камеры;
• Получение файлов сеанса Telegram и токенов Discord;
• Получение cookie-файлов из игры Roblox и файлов сеанса Minecraft;
• Сбор данных криптовалютных кошельков.

Похититель информации способен обойти Защитник Windows, отключив программу, если не включена защита от несанкционированного доступа. Если нет, стилер добавляет свой процесс в список исключений Защитника.

Кроме того, вредоносное ПО модифицирует файл «hosts», чтобы нарушить связь популярных антивирусных продуктов с сайтами компаний, препятствуя их нормальной работе и эффективности.

Цепочка заражения

Вредоносная кампания по добыче криптовалюты использует игру Super Mario Forever в ходе атак на геймеров и отдельных лиц, использующих высокопроизводительные устройства. Кроме того, вредоносное ПО также использует инфостилер для сбора конфиденциальной информации из систем жертв с целью получения дополнительной финансовой прибыли. Сочетание майнинга и кражи приводит к финансовым потерям, существенному снижению производительности системы жертвы и истощению ценных системных ресурсов.