Windows kötü amaçlı yazılımını yüklemek için kullanılan Trojanlı Super Mario oyunu


Windows için popüler Super Mario 3: Mario Forever oyunu için truva atlı bir yükleyici, şüphelenmeyen oyunculara birden çok kötü amaçlı yazılım bulaşması bulaştırıyor.

Super Mario 3: Mario Forever, Buziol Games tarafından geliştirilen ve 2003 yılında Windows platformu için piyasaya sürülen klasik Nintendo oyununun oynaması ücretsiz bir versiyonudur.

Oyun çok popüler oldu, milyonlarca kişi indirdi ve onu klasik Mario serisinin tüm mekaniklerini güncellenmiş grafikler ve modernize edilmiş stil ve sesle içerdiği için övdü.

Oyunun geliştirilmesi, hata düzeltmeleri ve iyileştirmeler getiren birden fazla sonraki sürümü yayınlayarak bir on yıl daha devam etti. Bugün, post-modern bir klasik olmaya devam ediyor.

Mario sonsuza kadar
Süper Mario 3: Sonsuza Kadar Mario (Cyble)

Oyuncuları hedefleme

Cyble’dan araştırmacılar, tehdit aktörlerinin Super Mario 3: Mario Forever yükleyicisinin değiştirilmiş bir örneğini, bilinmeyen kanallar aracılığıyla kendi kendine açılan bir yürütülebilir arşiv olarak dağıttığını keşfettiler.

Truva atı haline getirilmiş oyun büyük olasılıkla oyun forumlarında, sosyal medya gruplarında tanıtılıyor veya kötü amaçlı reklamcılık, Siyah SEO vb.

Arşiv, biri meşru Mario oyununu (“super-mario-forever-v702e.exe”) yükleyen ve kurbanın AppData’sına gizlice yüklenen “java.exe” ve “atom.exe” olmak üzere üç yürütülebilir dosya içerir. oyunun kurulumu sırasında dizin.

Kurbanın diskine düşen dosyalar
Kurbanın diskine düşen dosyalar (Cyble)

Kötü amaçlı yürütülebilir dosyalar diske girdikten sonra, yükleyici bunları bir XMR (Monero) madencisi ve bir SupremeBot madencilik istemcisi çalıştırmak için yürütür.

Trojanlı yükleyici
Trojanlı yükleyici (Cyble)

“Java.exe” dosyası, kurbanın donanımı hakkında bilgi toplayan ve “gulf” adresindeki bir madencilik sunucusuna bağlanan bir Monero madencisidir.[.]monerookyanus[.]akışı” madenciliği başlatmak için.

SupremeBot (“atom.exe”) kendisinin bir kopyasını oluşturur ve kopyayı oyunun kurulum dizinindeki gizli bir klasöre yerleştirir.

Ardından, her 15 dakikada bir çalışan kopyayı süresiz olarak yürütmek için meşru bir işlem adı altında saklanan zamanlanmış bir görev oluşturur.

İlk işlem sonlandırılır ve orijinal dosya, tespitten kaçınmak için silinir. Daha sonra kötü amaçlı yazılım, bilgi iletmek, istemciyi kaydetmek ve Monero madenciliğine başlamak için madencilik yapılandırmasını almak için bir C2 bağlantısı kurar.

Son olarak SupremeBot, “wime.exe” adlı bir yürütülebilir dosya olarak gelen C2’den ek bir yük alır.

Komple enfeksiyon zinciri
Komple enfeksiyon zinciri (Cyble)

Bu son dosya, Nisan 2023’ten beri GitHub’da bulunan ve virüslü Windows cihazından veri çalan açık kaynaklı bir C# bilgi hırsızı olan Umbral Stealer’dır.

Bu çalınan veriler, oturum belirteçleri, kripto para cüzdanları ve Discord, Minecraft, Roblox ve Telegram için kimlik bilgileri ve kimlik doğrulama belirteçleri içeren saklanan şifreler ve tanımlama bilgileri gibi web tarayıcılarında saklanan bilgileri içerir.

Umbral Stealer'ın işlevlerinin özeti
Umbral Stealer’ın işlevlerinin özeti (Cyble)

Umbral Stealer ayrıca kurbanın Windows masaüstünden ekran görüntüleri oluşturabilir veya medyayı yakalamak için bağlı web kameralarını kullanabilir. Çalınan tüm veriler, C2 sunucusuna sızmadan önce yerel olarak depolanır.

Bilgi hırsızı, kurcalamaya karşı koruma etkin değilse programı devre dışı bırakarak Windows Defender’dan kaçabilir. Değilse, sürecini Defender’ın dışlama listesine ekler.

Ek olarak, kötü amaçlı yazılım, popüler antivirüs ürünlerinin şirket siteleriyle iletişimini bozacak şekilde Windows ana bilgisayar dosyasını değiştirerek düzenli çalışmalarını ve etkinliklerini engelliyor.

Ana bilgisayar IP'lerini 0.0.0.0 olarak ayarlama
Güvenlik siteleri için IP’leri 0.0.0.0 olarak ayarlama (Cyble)

Yakın zamanda Super Mario 3: Mario Forever’ı indirdiyseniz, bilgisayarınızı yüklü kötü amaçlı yazılımlara karşı taramalı ve tespit edilenleri kaldırmalısınız.

Kötü amaçlı yazılım tespit edilirse, bankacılık, finans, kripto para birimi ve e-posta siteleri gibi hassas sitelerde parolalarınızı sıfırlamanız gerekir. Parolaları sıfırlarken, her sitede benzersiz bir parola kullanın ve bunları saklamak için bir parola yöneticisi kullanın.

Oyun veya herhangi bir yazılım indirirken, bunu yayıncının web sitesi veya güvenilir dijital içerik dağıtım platformları gibi resmi kaynaklardan yaptığınızdan emin olun.

İndirilen yürütülebilir dosyaları başlatmadan önce daima virüsten koruma yazılımınızı kullanarak tarayın ve güvenlik araçlarınızı güncel tutun.



Source link