Trò chơi Super Mario bị Trojan hóa được sử dụng để lây nhiễm mã độc trên Windows

Một phiên bản cài đặt bị Trojan hóa của trò chơi Super Mario 3: Mario Forever nổi tiếng dành cho Windows đã lây nhiễm nhiều phần mềm độc hại cho những người chơi cả tin.

Super Mario 3: Mario Forever là phiên bản làm lại miễn phí của trò chơi Nintendo cổ điển do Buziol Games phát triển và phát hành cho nền tảng Windows vào năm 2003. Trò chơi này đã trở nên rất phổ biến và được tải xuống bởi hàng triệu người dùng.

Super Mario 3: Mario Forever (Cyble)

Nhắm mục tiêu game thủ

Các nhà nghiên cứu từ Cyble đã phát hiện ra rằng những kẻ đe dọa đang phát tán một phiên bản đã sửa đổi của phần mềm cài đặt Super Mario 3: Mario Forever dưới dạng tệp lưu trữ tự giải nén có thể thực thi được.

Ứng dụng bị nhiễm trojan có khả năng được quảng cáo trên các diễn đàn trò chơi, nhóm truyền thông xã hội hoặc thông qua các quảng cáo độc hại,...

Tệp nén chứa ba tệp thực thi, bao gồm tệp cài đặt trò chơi Mario hợp pháp ("super-mario-forever-v702e.exe") và hai tệp khác, "java.exe" và "atom.exe", được cài đặt lén lút vào thư mục AppData của nạn nhân trong quá trình cài đặt trò chơi.

Chương trình cài đặt đã bị trojan hóa (Cyble)

Sau khi các tệp độc hại được lưu trong đĩa (disk), chương trình cài đặt sẽ thực thi chúng để chạy các công cụ khai thác XMR (Monero) và SupremeBot client.

Tệp "java.exe" là một công cụ khai thác Monero dùng để thu thập thông tin về phần cứng của thiết bị nạn nhân và kết nối với máy chủ khai thác tại "gulf[.]moneroocean[.]stream" để bắt đầu việc khai thác.

SupremeBot ("atom.exe") tạo một bản sao của nó và lưu vào một thư mục ẩn trong thư mục cài đặt trò chơi. Tiếp theo, nó tạo một tác vụ theo lịch trình, ẩn dưới tên của một tiến trình hợp pháp, để thực thi bản sao chạy vô thời hạn cứ sau 15 phút.

Quá trình ban đầu kết thúc và tệp gốc sẽ bị xóa đi để tránh bị phát hiện. Sau đó, phần mềm độc hại thiết lập kết nối đến máy chủ điều khiển tấn công (C2) để truyền thông tin, đăng ký ứng dụng khách và thiết lập cấu hình để bắt đầu khai thác Monero.

Cuối cùng, SupremeBot tải về một payload bổ sung từ C2, được xác định là một tệp thực thi có tên "wime.exe." Tệp này là Umbral Stealer, một công cụ đánh cắp thông tin nguồn mở, dùng để đánh cắp dữ liệu từ thiết bị Windows bị nhiễm.

Dữ liệu bị đánh cắp bao gồm thông tin được lưu trữ trong trình duyệt web, chẳng hạn như mật khẩu và cookie chứa token xác thực, ví tiền điện tử, thông tin đăng nhập và token xác thực cho Discord, Minecraft, Roblox và Telegram.

Umbral Stealer cũng có thể tạo ảnh chụp màn hình Windows hoặc sử dụng webcam được kết nối để thu thập thông tin của nạn nhân. Tất cả dữ liệu bị đánh cắp được lưu trữ cục bộ trước khi được chuyển đến máy chủ C2.

Công cụ đánh cắp thông tin còn có khả năng trốn tránh Windows Defender bằng cách vô hiệu hóa chương trình nếu biện pháp bảo vệ chống giả mạo không được bật. Nếu không, nó sẽ thêm tiến trình của nó vào danh sách loại trừ của Defender.

Ngoài ra, phần mềm độc hại còn sửa đổi tệp máy chủ Windows để làm giảm khả năng giao tiếp của các sản phẩm chống vi-rút phổ biến với các trang web của nhà phát hành, ngăn cản hoạt động thường xuyên và hiệu quả của các công cụ bảo vệ.

Nếu gần đây bạn đã tải xuống Super Mario 3: Mario Forever, bạn nên quét máy tính của mình để tìm phần mềm độc hại đã cài đặt và xóa mọi thứ được phát hiện.

Nếu phần mềm độc hại được phát hiện, bạn nên đặt lại mật khẩu của mình trên các ứng dụng nhạy cảm, chẳng hạn như các trang web ngân hàng, tài chính, tiền điện tử và email. Hãy sử dụng mật khẩu duy nhất cho mỗi trang web và sử dụng ứng dụng quản lý mật khẩu để lưu trữ chúng.

Điều quan trọng cần lưu ý là khi tải xuống trò chơi hoặc phần mềm nào, hãy đảm bảo tải xuống từ các nguồn chính thức như trang web của nhà phát hành hoặc các nền tảng phân phối đáng tin cậy.

Luôn quét các tệp thực thi đã tải xuống bằng phần mềm diệt vi-rút trước khi khởi chạy chúng và cập nhật các công cụ bảo mật của bạn.

Nguồn: bleepingcomputer.com.