Saldırganlar, popüler bir Super Mario Bros oyunu için meşru bir yükleyiciyi, Windows makinelerinde kripto para madencisi ve bilgi hırsızı da dahil olmak üzere çeşitli kötü amaçlı yazılım bulaşmalarını yayan bir Truva atına dönüştürdü.
Cyble Research and Intelligence Labs’tan (CRIL) bir ekip, Super Mario 3: Mario Forever için bir yükleyici keşfetti – son derece popüler Nintendo oyununun tamamen meşru, ücretsiz bir Windows sürümü – aynı zamanda bir XMR madencisi, bir SupremeBot madencilik istemcisi ve açık kaynaklı Umbral Stealer’ı 23 Haziran’da yayınlanan bir blog gönderisinde ortaya çıkardılar. Kötü amaçlı yazılım bombası, kişisel cihazları iş amacıyla kullanan uzak veya hibrit çalışanları olan birçok işletme için bir sorun olabilir ve bunun tersi de geçerlidir.
“Super-Mario-Bros.exe” olarak adlandırılan bir NSIS yükleyici dosyası olan yükleyici dosyası, aslında kendisi “gerçek ve güvenli bir Super Mario oyun uygulaması” olan “super-mario-forever-v702e” olmak üzere üç yürütülebilir dosya içerir. kötü amaçlı yazılımı dağıtan iki kötü amaçlı yürütülebilir dosya – “java.exe” ve “atom.exe” olarak söylediler.
Araştırmacılar, işletmeler için belki de en endişe verici olanın, Nisan ayından beri GitHub’da bulunan ve C# ile yazılmış hafif bir hırsız olan ve süreç belleğine yüklediği Umbral Stealer olduğunu söyledi. Umbral Stealer, Brave, Chrome, Opera, Edge ve Vivaldi dahil olmak üzere çeşitli tarayıcılardan kimlik bilgilerini ve diğer verileri kaldırır ve ayrıca ekran görüntüleri ve web kamerası görüntüleri yakalar; Telegram oturum dosyalarını ve Discord jetonlarını çalar; Roblox tanımlama bilgilerini ve Minecraft oturum dosyalarını alır; ve kripto para cüzdanlarıyla ilişkili dosyaları toplar. Araştırmacılar, hırsızın topladığı verilerin geçici klasör içindeki uygun dizinlere kaydedildiğini ve sonunda Discord web kancaları kullanılarak saldırgana iletildiğini de sözlerine ekledi.
Araştırmacılar, çevrimiçi oyun topluluğunun önemli boyutu ve oyuncuların meşru oyun yükleyicilerinin güvende olduğuna dair içsel güvenleri nedeniyle, tehdit aktörlerinin genellikle kötü amaçlı yazılımları oyun yükleyicilerine soktuğunu söyledi. 1980’lerden beri var olan ve halihazırda milyonlarca takipçisi olan bir franchise olan Super Mario Bros.’u kötü amaçlı yazılım dağıtmak için kullanmak, o zamanlar, özellikle de franchise son zamanlarda yeni oyunların piyasaya sürülmesi sayesinde popülaritesinde yeniden bir canlanma yaşadığı için çok mantıklı. 2023 yapımı “Süper Mario Bros. Filmi.”
Araştırmacılar gönderide, “Oyun yükleyicileri aracılığıyla dağıtılan kötü amaçlı yazılımlar, hassas bilgileri çalma, fidye yazılımı saldırıları gerçekleştirme ve daha fazlası gibi etkinliklerle para kazanılabilir.”
Ayrıca, kripto madenciliği yapmak için oyun yükleyicileri kullanmak, tehdit aktörleri arasında özellikle popüler bir taktiktir çünkü “genellikle oyunla ilişkilendirilen güçlü donanım, kripto para madenciliği için değerli bilgi işlem gücü sağlar” dediler.
Sürpriz Süper Mario Madencilik Kötü Amaçlı Yazılım Paketi
Bir kullanıcı “Super-Mario-Bros.exe” dosyasını yürüttüğünde, “super-mario-forever-v702e.exe” dosyasını hedef makinenin “%appdata%” dizinine bırakır ve yürütmeyi başlatır; programı yüklemeye devam etmek için bir Kurulum Sihirbazı görüntülenir.
Bu arada, arka planda, NSIS yükleyicisi “java.exe” ve “atom.exe” dosyalarını gizlice bırakır. Araştırmacılar, %appdata% dizini içindeki Super Mario Forever oyununa ek olarak, yükleyicinin yürütmeye devam ettiği dosyaları söyledi. “Java.exe” dosyası aslında Monero kripto para madenciliği yapmak için tasarlanmış bir XMR madenci yürütülebilir dosyasıdır, “atom.exe” ise Umbral Stealer’ı sunar ve bir SupremeBot madencilik istemcisi olarak hizmet vererek madencinin ağ bağlantısını etkinleştirir, madencilik görevlerini alır ve etkili bir şekilde yönetir. tüm madencilik süreci, dediler.
Araştırmacılar, XMR madencisinin kurbanın haberi olmadan arka planda gizlice çalıştığını, Monero madenciliği yapmak için bilgi işlem kaynaklarını kullandığını ve ayrıca kurbanın sisteminden bilgisayar adı, kullanıcı adı, GPU, CPU ve diğer ayrıntılar dahil olmak üzere değerli verileri çaldığını söyledi. Daha sonra verileri bir komut ve kontrol (C2) sunucusuna iletir.
SupremeBot madencilik istemcisi ayrıca birkaç hain faaliyet gerçekleştirir. “hxxp://silentlegion” etki alanına bir POST isteği ile başlar.[.]ördekler[.]kuruluş/kapı/güncelleme[.]php” ve istemcinin kayıtlı olup olmadığını doğrulamak için benzersiz tanımlayıcılar olarak kurban sistemin CPU ve GPU sürümlerini içerir. Benzersiz tanımlayıcı bulunamazsa, istemci, benzersiz tanımlayıcıyı ekleyerek istemciyi kaydetmek için bir POST isteği gönderir.
SupremeBot bir istemci bağlantısı kurduğunda, komut ve kontrol (C2) sunucusundan bir XMRig CPU ve GPU madenciliği yapılandırması alır ve ardından “hxxp://silentlegion” adresine başka bir POST isteği gönderir.[.]ördekler[.]kuruluş/kapı/yapılandırma[.]php”, kurbanın makinesine özgü madenci yapılandırmasını içerir.
Bir Süper Mario Siber Saldırısından Kaçınmak ve Hafifletmek
Araştırmacılar, trojenleştirilmiş Super Mario yükleyici tarafından ele geçirilmekten kaçınmanın en sağduyulu yolunun Warez/Torrent web sitelerinden yazılım indirmemek olduğunu söyledi. Bu, özellikle kurumsal ağlarda çalışan kullanıcılar için önemlidir; bu durumda, virüs bulaşmış bir oyun yükleyiciden kaynaklanan bir kötü amaçlı yazılım bulaşması kuruluş genelinde yayılabilir.
Yukarıda bahsedilen rehberliği güçlendirmek için kuruluşlar, çalışanlara güvenlik bilinci ve eğitim sağlamalı, böylece onların orijinalliğini doğrulamadan güvenilmeyen bağlantıları ve e-posta eklerini açmaktan kaçınmaları ve bu saldırılarda yer alan kimlik avı saldırılarını ve güvenilmeyen URL’leri nasıl tespit edeceklerini öğrenmeleri gerektiğini söylediler.
Araştırmacılar ayrıca kuruluşların genel bilgi güvenliklerini ve kabul edilebilir kullanım politikalarını son kullanıcı sistemlerine kripto madenciliği yazılımlarının indirilmesini ve kurulmasını yasaklayacak şekilde güncellemeleri gerektiğini tavsiye etti.
Araştırmacılar, kötü amaçlı yazılımı yaymak için kullanılabilecek bilinen torrent sitelerinden gelen URL’lerin engellenmesi ve potansiyel kötü amaçlı yazılım bulaşmasına işaret eden CPU ve RAM kullanımında beklenmeyen ani yükselmeler için uç noktaların ve sunucuların izlenmesinin, kurumsal sistemlerde yanlışlıkla indirilen kötü amaçlı yazılımların yayılmasını da azaltabileceğini ekledi. .