Game Super Mario yang Kena Trojan Digunakan untuk Menginstal Malware Windows

Cyberthreat.id - Penginstal trojan untuk game Super Mario 3: Mario Forever yang populer untuk Windows telah menginfeksi pemain yang tidak menaruh curiga dengan beberapa infeksi malware.

Super Mario 3: Mario Forever adalah remake free-to-play dari game Nintendo klasik yang dikembangkan oleh Buziol Games dan dirilis untuk platform Windows pada tahun 2003.

BleepingComputer menuliskan bahwa game ini menjadi sangat populer, diunduh oleh jutaan orang, yang memujinya karena menampilkan semua mekanisme dari seri Mario klasik tetapi dengan grafik yang diperbarui serta gaya dan suara yang dimodernisasi.

Pengembangan game berlanjut selama satu dekade berikutnya, merilis beberapa versi berikutnya yang membawa perbaikan dan peningkatan bug. Hari ini, itu tetap menjadi klasik post-modern.

Peneliti dari Cyble menemukan bahwa pelaku ancaman mendistribusikan sampel modifikasi dari penginstal Super Mario 3: Mario Forever, yang didistribusikan sebagai arsip yang dapat mengekstrak sendiri yang dapat dieksekusi melalui saluran yang tidak diketahui.

Game yang terkena trojan kemungkinan besar dipromosikan di forum game, grup media sosial, atau didorong ke pengguna melalui malvertisasi, SEO Hitam, dll.

Arsip berisi tiga executable, satu yang menginstal game Mario yang sah ("super-mario-forever-v702e.exe") dan dua lainnya, "java.exe" dan "atom.exe", yang diinstal secara diam-diam ke AppData korban.

Setelah executable berbahaya ada di disk, penginstal mengeksekusinya untuk menjalankan penambang XMR (Monero) dan klien penambangan SupremeBot.

File "java.exe" adalah penambang Monero yang mengumpulkan informasi tentang perangkat keras korban dan terhubung ke server penambangan di "gulf[.]moneroocean[.]stream" untuk memulai penambangan.

SupremeBot ("atom.exe") membuat duplikatnya sendiri dan menempatkan salinannya di folder tersembunyi di direktori instalasi game.

Selanjutnya, ia membuat tugas terjadwal untuk menjalankan salinan yang berjalan setiap 15 menit tanpa batas waktu, bersembunyi di bawah nama proses yang sah.

Proses awal dihentikan dan file asli dihapus untuk menghindari deteksi. Kemudian malware membuat koneksi C2 untuk mengirimkan informasi, mendaftarkan klien, dan menerima konfigurasi penambangan untuk mulai menambang Monero.

Terakhir, SupremeBot mengambil muatan tambahan dari C2, tiba sebagai file yang dapat dieksekusi bernama "wime.exe".

File terakhir itu adalah Umbral Stealer, pencuri informasi C# sumber terbuka yang tersedia di GitHub sejak April 2023, yang mencuri data dari perangkat Windows yang terinfeksi.

Data yang dicuri ini mencakup informasi yang disimpan di browser web, seperti kata sandi dan cookie tersimpan yang berisi token sesi, dompet mata uang kripto, serta kredensial dan token autentikasi untuk Discord, Minecraft, Roblox, dan Telegram.

Umbral Stealer juga dapat membuat tangkapan layar dari desktop Windows korban atau menggunakan webcam yang terhubung untuk menangkap media. Semua data yang dicuri disimpan secara lokal sebelum diekstraksi ke server C2.

Pencuri info mampu menghindari Windows Defender dengan menonaktifkan program jika proteksi perusakan tidak diaktifkan. Jika tidak, prosesnya akan ditambahkan ke daftar pengecualian Pembela.

Selain itu, malware memodifikasi file host Windows untuk mengganggu komunikasi produk antivirus populer dengan situs perusahaan, mencegah operasi dan efektivitas regulernya.

Jika Anda baru saja mengunduh Super Mario 3: Mario Forever, Anda harus memindai komputer Anda untuk malware yang terpasang dan menghapus malware yang terdeteksi.

Jika malware terdeteksi, Anda harus menyetel ulang sandi di situs sensitif, seperti situs perbankan, keuangan, mata uang kripto, dan email. Saat mengatur ulang kata sandi, gunakan kata sandi unik di setiap situs dan gunakan pengelola kata sandi untuk menyimpannya.

Penting juga untuk diingat bahwa saat mengunduh game atau perangkat lunak apa pun, pastikan melakukannya dari sumber resmi seperti situs web penerbit atau platform distribusi konten digital tepercaya.

Selalu pindai file yang dapat dijalankan yang diunduh menggunakan perangkat lunak antivirus Anda sebelum meluncurkannya, dan selalu perbarui alat keamanan Anda.[]