Studiuesit Cyble kanë zbuluar një version të infektuar të Super Mario 3: Mario Forever. Kriminelët e panjohur kibernetikë përdorën instaluesin origjinal të lojës për të shpërndarë tre pjesë të malware, duke përfshirë një minator Monero dhe një vjedhës informacioni. Prandaj, qëllimi është të përdoren burimet e kompjuterit Windows për të gjeneruar kriptovaluta dhe për të vjedhur të dhënat personale të viktimave që nuk dyshojnë.
Kujdes nga instaluesi fals
Super Mario 3: Mario Forever është një xhirim falas i lojës klasike nga Nintendo, i zhvilluar nga Buziol Games (Softendo) dhe i lëshuar në vitin 2003. Versioni më i fundit 7.02e, i lëshuar në fillim të 2020, është ai i marrë nga targeted nga kriminelët kibernetikë. Instaluesi i infektuar, i shpërndarë si një arkiv vetë-ekstraktues nëpërmjet kanaleve jozyrtare, përmban tre skedarë të ekzekutueshëm.
E para është ekzekutuesi legjitim, d.m.th., super-mario-forever-v702e.exe. Dy të tjerët janë java.exe dhe atom.exe. Të gjithë skedarët kopjohen në drejtorinë AppData. Në fund të procedurës së instalimit, përdoruesi sheh ndërfaqen grafike të lojës, por dy skedarët e tjerë ekzekutohen gjithashtu në sfond, përkatësisht XMR Miner (java.exe) dhe klienti SupremeBot (atom.exe).
XMR Miner mbledh informacione të ndryshme kompjuterike (emri, CPU, GPU) të cilat dërgohen në serverin C&C (komandë dhe kontroll). Më pas vendos lidhjen me serverin e minierave dhe fillon aktivitetet duke shfrytëzuar burimet e harduerit. SupremeBot kopjon veten në direktorinë ProgramData, fshin ekzekutuesin nga drejtoria AppData, shton një detyrë të planifikuar që të ekzekutohet automatikisht çdo 15 minuta dhe shkarkon skedarin wime.exe.
Ky i fundit është Umbra Stealer, një vjedhës informacioni me burim të hapur i disponueshëm në GitHub. Malware mund të vjedhë fjalëkalime dhe kuki nga shfletuesit kryesorë, të regjistrojë pamje nga ekrani dhe imazhe të kamerave të internetit, të marrë skedarë sesionesh nga tokenat e Telegram dhe Discord, të aksesojë kuletat e kriptomonedhave. Të dhënat kopjohen në drejtorinë Temp dhe më pas dërgohen në serverin në distancë.
Discussion about this post