Kötü amaçlı yazılımın, Super Mario 3 gibi oyunlar dünya çapında ünlü olduğu ve çocuklar tarafından sevildiği için büyük ölçekli kurbanları hedef alma potansiyeli var.
Son zamanlarda, Cyble araştırmacıları, Super Mario 3: Mario Forever yükleyicisinin truva atı haline getirilmiş bir sürümünü keşfetti. Yükleyicinin içinde gizlenen kötü amaçlı yazılım, hassas verileri çalmak, kripto para madencilerini dağıtmak ve fidye yazılımı başlatmak gibi çeşitli kötü amaçlı görevleri gerçekleştirebilir.
Sahte Super Mario 3 Yükleyicisine Dikkat Edin
Araştırmacılar, oyun kurucuların parasal kazançları en üst düzeye çıkarmak için kazançlı bir yol olarak ortaya çıktığını belirtti. Tehdit aktörleri, geniş kullanıcı tabanları, güçlü donanımları ve kötü amaçlı yazılımları kolayca gizlemelerine olanak tanıyan büyük dosya boyutları nedeniyle kötü amaçlı yazılım dağıtmak için oyun yükleyicilerinden yararlanmayı tercih eder. Oyuncular, yasal yazılım olduklarını düşündükleri için bu yükleyicilere güvenirler, ancak sosyal mühendislik, saldırganların bu güveni istismar etmesine ve oyuncuları kötü amaçlı yazılım indirmeleri için kandırmasına izin verebilir.
Bu durumda araştırmacılar, sahte yükleyicinin üç yürütülebilir dosyayla geldiğini yazdı. Bu dosyalardan biri oyunu kurarken, java.exe ve atom.exe adlı diğer iki dosya cihazdaki AppData dizinine kurulur. Her iki dosyaya da farklı görevler atanır.
- Java.exe- normal bir Java çalışma zamanı gibi görünebilir, ancak gerçekte, bir madencilik sunucusuna (gulfmonerooceanstream) bağlantı kurmakla görevli bir Monero kripto para madencisidir.
- Atom.exe- Her on beş dakikada bir kopyayı yürütmek için zamanlanmış bir görev oluşturan, kendi kendini kopyalayan bir SupremeBot madencilik istemcisidir. SupremeBot’un bir C2 sunucusuyla bağlantı kurduktan sonra başka bir yürütülebilir dosya olan “wime.exe”yi getirmesi gerekir.
O nasıl çalışır?
Kötü amaçlı yükleyici dosyası “super-mario-forever-v702e” sisteme yüklendikten sonra, iki dosya üzerinden bir XMR miner ve bir SupremeBot madencilik programı başlatır. Bu yapıldıktan sonra, veri bilgilerini iletmek, istemciyi kaydetmek ve kripto para birimi madenciliğini başlatmak için gerekli yapılandırmayı elde etmek için C2 sunucusuna bir bağlantı kurulur. Bunu, açık kaynaklı bir Umbral Stealer olan “wime.exe” yürütülebilir dosyasının getirilmesi takip eder.
Umbral Stealer, saklanan tanımlama bilgileri ve parolalar, oturum belirteçleri, kripto para cüzdanlarından kimlik bilgileri ve diğer platformlar veya oyunlar için kimlik doğrulama belirteçleri dahil olmak üzere hedeflenen cihazdan hassas kullanıcı verilerini çalabilir. Ek olarak, kurcalamaya karşı koruma etkin değilse Windows Defender’ı algılamadan kaçınmak için devre dışı bırakır. Ancak kurcalamaya karşı koruma etkinse, işlemi dışlama listesine ekler.
Potansiyel Tehlikeler
Kötü niyetli Super Mario 3 yükleyicisi, kripto para birimi madenciliği ve veri çalma yeteneğine sahip olduğundan oldukça öldürücüdür. Bu, mağdurlar için ağır mali kayıplara neden olabilir ve bilgisayar kaynaklarını tüketerek sistem performansında düşüşe neden olabilir.
Cyble’ın raporunda, “Oyun yükleyicileri aracılığıyla dağıtılan kötü amaçlı yazılımlar, hassas bilgilerin çalınması, fidye yazılımı saldırılarının gerçekleştirilmesi ve daha fazlası gibi etkinliklerle para kazanılabilir.”
ALAKALI HABERLER
- Uyarı: Android Super Mario Run Aslında Kötü Amaçlı Yazılımdır
- Minecraft, kötü amaçlı yazılımların en çok bulaştığı oyunu ilan etti
- Sahte kötü amaçlı Fortnite Android uygulamalarını indirmeyi durdurun
- ROBLOX, Nintendo oyun çatlakları ChromeLoader kötü amaçlı yazılımını düşürür