小心別下載木馬化瑪利歐遊戲!使用者電腦恐淪為駭客挖礦機
免費下載 PC 遊戲讓許多遊戲玩家毫無招架之力,更別說超經典的免費重製版〈超級瑪利歐 3:永遠的瑪利歐〉(Super Mario 3: Mario Forever),狂熱玩家一心一意急著下載,根本不會想到遊戲是否安全。最近網路出現專門引誘毫無戒心使用者下載的木馬化〈超級瑪利歐 3〉,許多玩家電腦就感染多種惡意軟體。
〈超級瑪利歐 3〉重製版是免費遊戲,有經典瑪利歐系列所有機制,更賦與現代化風格與音效,非常受歡迎,已有數百萬次下載量。遊戲由 Buziol Games 開發,2003 年推出 Windows 版,歷經多次更新仍是膾炙人口的經典遊戲。
全球威脅情報 SaaS 服務供應商 Cyble 研究員發現,駭客透過未知管道(可能是遊戲論壇、社群媒體、惡意廣告或黑帽 SEO 等接觸使用者)散布修改過〈超級瑪利歐 3〉安裝程式,並以自動解壓縮執行檔形式四處散播。
遊戲下載後會自動解壓縮並植入挖礦惡意軟體
惡意壓縮檔含三個可執行檔,分別是合法瑪利歐遊戲的安裝執行檔(super-mario-forever-v702e.exe)、Java.exe(XMR 門羅幣挖礦程式)及 atom.exe(SupremeBot 挖礦機器人),會在安裝過程悄悄植入 AppData 目錄。
Java.exe 會收集硬體資訊,連接到 gulf.moneroocean.stream 挖礦伺服器後就開始挖礦。SupremeBot 則會將自我複製副本放入遊戲安裝目錄的隱藏資料夾,機器人程式會建立排程任務,以隱藏在合法程序名稱下的手法,無限期地每 15 分鐘執行一次副本。
初始程序終止後,惡意軟體會刪除原始檔以便規避安全偵測,並和遠端 C2 伺服器連線並發送資訊、登錄用戶端,接收挖礦配置以開始挖門羅幣(Monero,XMR)。最後 SupremeBot 會向 C2 伺服器檢索額外封包負載,下載「time.exe」可執行檔(會植入 Umbral Stealer 竊密木馬程式)。
最終植入能竊密、截圖、偷拍並讓防毒軟體失效的 Umbral Stealer
Umbral Stealer 是自 2023 年 4 月開始 GitHub 取得的開源 C# 竊密木馬程式,駭客可透過它竊取 Windows 裝置機密資料,包括存在瀏覽器的密碼、含階段作業記號(Session Token)的 Cookie 及加密貨幣錢包,以及 Discord、〈Minecraft〉、Roblox 或 Telegram 的憑證與身分驗證令牌等資料。
最可怕的是,Umbral Stealer 不但能擷取受害者電腦螢幕畫面,還能劫持網路攝影機捕捉使用者一舉一動。如果使用者未啟用 Windows 系統防篡改保護設定,竊密程式還能透過禁用 Windows Defender 程式規避 Windows 安全偵測。即使關不了 Windows Defender,竊密木馬程式還能將自己新增到 Defender 排除項目,一樣能逃過偵測。惡意軟體更能修改 Windows Hosts 系統檔,讓其他防毒軟體失效。
如果使用者最近下載安裝〈超級瑪利歐 3〉,最好透過雲端線上掃毒偵測,確認是否下載到木馬版,甚至已遭植入惡意軟體。
(首圖來源:Cyble)