„Windows“ kenkėjiška programa plinta per užkrėstą „Super Mario“ žaidimą

parašė Ugnius Kiguolis - - 2023-06-29

Trojanizuotas „Super Mario“ žaidimas užkrečia įrenginius „Windows“ kenkėjiška programa

Buvo atrasta trojanizuota populiaraus žaidimo „Super Mario 3: Mario Forever“ diegimo programa, skirta „Windows“ įrenginiams. Ji kelia rimtą pavojų neatsargiems žaidėjams, kurie siunčiasi žaidimus iš nepatikrintų vietų. Šioje modifikuotoje žaidimo diegimo programos versijoje, kuri buvo platinama nežinomais kanalais, yra daug kenkėjiškų programų, galinčių kelti pavojų paveiktų sistemų saugumui ir privatumui.

„Super Mario 3: Mario Forever“, kurį 2003 m. išleido „Buziol Games“, yra nemokamas klasikinio „Nintendo“ žaidimo perdirbinys. Jis greitai išpopuliarėjo tarp vartotojų ir jį atsisiuntė milijonai vartotojų, kurie norėjo iš naujo išgyventi nostalgišką patirtį dėl atnaujintos grafikos, modernizuoto stiliaus ir pažįstamos žaidimo mechanikos.

Deja, kibernetiniai nusikaltėliai nusprendė išnaudoti žaidimo populiarumą platindami trojanizuotą jo versiją. Užkrėsta diegimo programa greičiausiai platinama naudojant įvairias kenkėjiškas reklamavimo technologijas, tokias kaip kenkėjiškos reklamos^[1] ir „Black SEO“ taktika^[2].

Trojanizuotoje diegimo programoje paslėpti kenkėjiški dariniai

Vartotojai, to net nesuvokdami, patys įsileidžia į savo įrenginių sistemas kenksmingus darinius, kurie atsiduria kompiuteryje vos tik paleidus trojanizuotą diegimo programą. Ši diegimo programa atveria tris vykdomuosius failus: teisėtą „Super Mario 3: Mario Forever“ žaidimo diegimo programą ir du papildomus failus, vadinamus „java.exe“ ir „atom.exe“.

Failas „java.exe“ veikia kaip „Monero“ (XMR) kriptovaliutų įrankis^[3], „kasantis“ „Monero“ monetas naudodamas aukos įrangos išteklius. Jis prisijungia prie „gulf[.]moneroocean[.]stream“ kasybos serverio ir pradeda vogti pinigus iš aukos sistemos.

Tuo tarpu „atom.exe“ įdiegia „SupremeBot“, slaptą kasybos klientą. Kad būtų išvengta aptikimo, ši kenkėjiška programa sukuria paslėptą savo dublikatą žaidimo diegimo kataloge. Ji taip pat sukuria suplanuotą užduotį, kuri paleidžia dublikatą kas 15 minučių, kol prisidengia teisėtu proceso pavadinimu.

Kenkėjiškos programos gali pavogti svarbius duomenis

Trojanizuota „Super Mario“ žaidimo diegimo programa gali atlikti kur kas daugiau veiksmų nei tik „kasti“ kriptovaliutą. Ji taip pat naudoja atviro kodo informaciją vagiantį įrankį „Umbral Stealer“. Ši pažangi kenkėjiška programa gali gan lengvai pavogti neskelbtinus duomenis iš užkrėstų „Windows“ įrenginių.

„Umbral Stealer“ skirta įvairiai vertingai informacijai, pavyzdžiui, saugomiems slaptažodžiams, interneto naršyklių sesijų tokenams, populiarių platformų, tokių kaip „Discord“, „Minecraft“, „Roblox“ ir „Telegram“, prisijungimo duomenims ir kriptovaliutų piniginėms. Be to, kenkėjiška programa gali daryti aukos darbalaukio ekrano kopijas ir naudoti prijungtas kameras, kad užfiksuotų medijos failus.

Jei neįjungta apsauga nuo klastojimo, „Umbral Stealer“ išjungia „Windows Defender“ ir įtraukia šios programos procesą į „Defender“ išimčių sąrašą, kad būtų išvengta viruso aptikimo. Be to, kenkėjiška programa modifikuoja „Windows“ prieglobos failą, kad neleistų populiarioms antivirusinėms programoms susisiekti su atitinkamomis įmonių svetainėmis, todėl jos tampa mažiau veiksmingi.

Kaip apsisaugoti nuo „Super Mario“ žaidimo kenkėjiškos programos ir užtikrinti saugumą

Jei neseniai atsisiuntėte „Super Mario 3: Mario Forever“, turite nedelsdami nuskaityti savo kompiuterį su antivirusine programa, kad įsitikintumėte, ar nėra įdiegtos kenkėjiškos programos. Jei randami kokie nors virusai, juos reikia iš karto pašalinti iš sistemos. Slaptažodžio pakeitimas taipogi primygtinai rekomenduojamas įvairiose jautriose svetainėse, pvz., bankininkystės, finansų, kriptovaliutų ir el. pašto platformose.

Nepamirškite naudoti unikalių ir stiprių kiekvienos svetainės slaptažodžių, kai iš naujo nustatote slaptažodžius, ir naudokite slaptažodžių tvarkyklę, kad patikimai juos saugotumėte. Be to, žaidimus ir programinę įrangą atsisiųskite tik iš oficialių šaltinių, pvz., leidėjo svetainės arba geros reputacijos skaitmeninio turinio platinimo platformų.

Norėdami sustiprinti savo apsaugą, prieš paleisdami atsisiųstus vykdomuosius failus juos nuskaitykite su patikima antivirusine programa. Reguliarus saugos įrankių atnaujinimas užtikrina, kad esate apsaugoti nuo kylančių grėsmių ir pažeidžiamumų. Išlikdami budrūs ir laikydamiesi elementarių saugumą užtikrinančių žingsnių, galite smarkiai sumažinti tikimybę tapti trojanais apkrėstų žaidimų bei kitų kenkėjiškų programų atakų auka ir apsaugoti savo skaitmeninį gyvenimą bei asmeninę informaciją.

Apie autorių

Ugnius Kiguolis - Virusų šalinimo ekspertas

Ugnius Kiguolis yra profesionalus virusų tyrėjas ir tinklalapio Virusai.lt įkūrėjas bei vyriausiasis redaktorius. Ugnius sukūrė Virusai.lt portalą 2004 metais, norėdamas informuoti visuomenę apie kibernetinius nusikaltimus.

Susisiekite su Ugnius Kiguolis
Apie kompaniją Esolutions

Šaltiniai

^ Malvertising. Malwarebytes. Security Tips, Tricks and How-Tos.
^ What is Black Hat SEO?. Growhackscale. Business Growth.
^ MINING EXPLAINED: A DETAILED GUIDE ON HOW CRYPTOCURRENCY MINING WORKS. Freemanlaw. Legal Help.