Установочные пакеты видеоигры Super Mario 3: Mario Forever начали заражать скрытыми майнерами для добычи XMR
Злоумышленники стали прятать в установочные пакеты Super Mario 3: Mario Forever вредоносные файлы. Об этом сообщают аналитики IT-фирмы Cyble. По их данным, вирусную копию с упором на Windows распространяют на игровых форумах и социальных площадках.
В установочном архиве содержится три файла: один устанавливает саму игру (super-mario-forever-v702e.exe), а еще два (java.exe и atom.exe) скрытно размещаются в папке AppData жертвы во время установки игры. Как только вредоносные файлы спрятаны в папке жертвы, установщик видеоигры открывает их для запуска майнера криптовалютны monero (XMR) и майнинг-клиента SupremeBot, утверждают аналитики.
В Cyble выяснили, что файл (java.exe) отвечает за сбор информации об оборудовании жертвы и подключается к серверу майнинга по адресу «gulf[.]moneroocean[.]stream». Другой файл, (atom.exe), самокопируется в скрытой папке в каталоге установки игры.
Далее файл создает запланированную задачу на выполнение копии, которая запускается каждые 15 минут на неопределенный срок, скрываясь от обнаружения в диспетчере задач под одним из системных процессов. Сам файл устанавливает интернет-соединение для передачи информации, регистрации клиента и получения конфигурации майнинга. Более того, SupremeBot скачивает файл Umbral Stealer, который крадет информацию с компьютера жертвы вроде данных о браузере, cookie, токенов аутентификации, паролей и так далее. Также Umbral Stealer может делать несанкционированные скриншоты на компьютере жертвы для кражи конфиденциальной информации.
Риски вредоносной версии Super Mario 3: Mario Forever усиливаются тем, что лицензированная версия бесплатна. Это означает, что оригинал и пиратская копия одинаково доступны по сети.