Dính phần mềm độc hại khi tải trò chơi Super Mario 3

Mới đây, các nhà nghiên cứu bảo mật tại Cyble đã phát hiện tin tặc đang lợi dụng trò chơi Super Mario 3 để phát tán phần mềm độc hại.

Super Mario 3: Mario Forever là phiên bản làm lại miễn phí của trò chơi Nintendo cổ điển do Buziol Games phát triển, và phát hành cho nền tảng Windows vào năm 2003.

Trò chơi đã được tải xuống hàng triệu lần bởi phần đồ họa, âm thanh, kiểu dáng đã được cải tiến trong khi vẫn giữ lại các cơ chế của dòng game Mario cổ điển.

Tuy nhiên, các nhà nghiên cứu bảo mật tại Cyble đã phát hiện tin tặc đang phát tán phần mềm độc hại thông qua một phiên bản chỉnh sửa của trò chơi Super Mario 3: Mario Forever.

Trò chơi bị nhiễm phần mềm độc hại được quảng cáo trên các diễn đàn, các nhóm truyền thông xã hội, quảng cáo độc hại… File tải về sẽ có 3 tệp tin thực thi, 1 tệp cài đặt trò chơi Mario hợp pháp ("super-mario-forever-v702e.exe") và 2 tệp khác, "java.exe" và "atom.exe", được cài đặt kín đáo vào thư mục AppData trên máy tính trong quá trình cài đặt.

Sau đó, trình cài đặt sẽ khởi chạy các công cụ khai thác XMR (Monero) và ứng dụng khách khai thác SupremeBot.

Tệp "java.exe" là một công cụ khai thác Monero, thu thập thông tin về phần cứng của nạn nhân và kết nối với máy chủ tại "gulf[.]moneroocean[.]stream" để bắt đầu khai thác.

SupremeBot ("atom.exe") sẽ tạo ra một bản sao trong thư mục cài đặt trò chơi. Sau đó nó tạo một tác vụ theo lịch trình để chạy bản sao vô thời hạn cứ sau 15 phút, ẩn dưới tên của một quy trình hợp pháp.

Quá trình ban đầu kết thúc và tệp gốc bị xóa để tránh bị phát hiện. Sau đó, phần mềm độc hại thiết lập kết nối C2 để truyền thông tin, đăng ký ứng dụng khách và nhận cấu hình khai thác để bắt đầu khai thác Monero.

Cuối cùng, SupremeBot truy xuất một tải trọng bổ sung từ C2, đến dưới dạng tệp thực thi có tên "wime.exe."

Tệp cuối cùng đó là Umbral Stealer, một trình đánh cắp thông tin C# nguồn mở có sẵn trên GitHub kể từ tháng 4-2023, đánh cắp dữ liệu trên các thiết bị Windows bị lây nhiễm.

Dính phần mềm độc hại khi tải trò chơi Super Mario 3 - 2

Dữ liệu bị đánh cắp bao gồm thông tin được lưu trữ trong trình duyệt web, chẳng hạn như mật khẩu và cookie có chứa mã thông báo, ví tiền điện tử, thông tin đăng nhập và mã thông báo xác thực cho Discord, Minecraft, Roblox và Telegram.

Ngoài ra, Umbral Stealer cũng có thể tạo ảnh chụp màn hình Windows của nạn nhân hoặc sử dụng webcam được kết nối để chụp ảnh. Tất cả dữ liệu bị đánh cắp được lưu trữ cục bộ trước khi được chuyển đến máy chủ C2.

Phần mềm độc hại có khả năng trốn tránh Windows Defender bằng cách vô hiệu hóa chương trình hoặc tự động thêm mình vào danh sách loại trừ.

Ngoài ra, phần mềm độc hại còn sửa đổi tệp máy chủ Windows để làm giảm khả năng giao tiếp của các phần mềm chống virus, ngăn cản công cụ hoạt động.

Nếu gần đây bạn đã tải xuống Super Mario 3: Mario Forever, bạn nên quét toàn bộ máy tính để tìm phần mềm độc hại và xóa chúng ngay lập tức.

Nếu phát hiện phần mềm độc hại, người dùng nên đặt lại mật khẩu tại các trang web nhạy cảm, chẳng hạn như ngân hàng, tài chính, tiền điện tử và email. Khi đặt lại mật khẩu, hãy sử dụng chữ hoa, chữ thường, số, các ký tự đặc biệt… và phần mềm quản lý mật khẩu chuyên dụng.

Điều quan trọng cần nhớ là khi tải xuống trò chơi hoặc bất kỳ phần mềm nào, hãy đảm bảo bạn tải xuống từ các nguồn chính thức như trang web của nhà phát hành hoặc các nền tảng phân phối nội dung đáng tin cậy.

Luôn quét các tệp thực thi đã tải xuống bằng phần mềm chống virus trước khi khởi chạy chúng, và luôn cập nhật các công cụ bảo mật.

Nguồn: [Link nguồn]Nguồn: [Link nguồn]