Троянизированный инсталлятор Super Mario 3 для Windows заражает геймеров

Екатерина Быстрова 26 Июня 2023 - 08:51

...

Троянизированный инсталлятор Super Mario 3 для Windows заражает геймеров

Злоумышленники выпустили в дикую природу троянизированную версию игры Super Mario 3: Mario Forever для Windows. В результате ничего не подозревающие геймеры заразили свои компьютеры майнером и инфостилером.

Super Mario 3: Mario Forever — бесплатный ремейк классической игры для Nintendo. За разработкой проекта, который вышел для Windows в 2003 году, стояла компания Buziol Games.

Самой собой, переиздание привлекло внимание многих фанатов и «олдов». Люди в особенности отмечали присутствие уже полюбившейся механики управления классической серии, но при этом обновлённую графику и более современные звуковые эффекты.

Исследователи из Cyble выяснили, что киберпреступники распространяют модифицированную версию инсталлятора Super Mario 3: Mario Forever в виде самораспаковывающегося архива. Точные каналы распространения пока неизвестны.

Скорее всего, злоумышленники размещают вредоносную инсталляшку на форумах для геймеров, в соцсетях или продвигают свои сайты с помощью «чёрного SEO». В архиве лежат три исполняемых файла: один устанавливает легитимную игру Mario (super-mario-forever-v702e.exe), а два других — java.exe и atom.exe — незаметно устанавливаются в директорию AppData.

Как только злонамеренные файлы оказываются на диске, инсталлятор выполняет их и запускает майнер XMR (Monero), а также клиент SupremeBot. В качестве самого майнера выступает файл java.exe, собирающий информацию об аппаратном обеспечении жертвы. Для майнинга он подключается к серверу gulf[.]moneroocean[.]stream.

SupremeBot (файл atom.exe) создаёт собственную копию и помещает её в скрытую папку, размещённую в установочной директории видеоигры. Далее создаётся задание в планировщике, которое запускает упомянутую копию каждые 15 минут.

При этом зловред завершает изначальный процесс и удаляет файл для ухода от детектирования. На командный сервер отправляются данные заражённого компьютера, C2 регистрирует машину и посылает настройки для майнинга Monero.

На завершающем этапе SupremeBot получает дополнительный пейлоад с сервера под именем wime.exe. Этот файл — вредонос Umbral Stealer, написанный на C# и предназначенный для кражи информации: cookies и токены сессий для аккаунтов Discord, Minecraft, Roblox и Telegram.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 31 Октября 2025 - 21:33

Корпорации Системы для анализа защищенности информационных систем Средства тестирования на проникновение Аудит информационной безопасности Positive Technologies

PT Dephaze научилась строить цепочки атак и тестировать десятки тысяч узлов

Компания Positive Technologies выпустила обновлённую версию PT Dephaze — системы, которая автоматически проводит безопасные тесты на проникновение во внутреннюю инфраструктуру. Новый релиз делает процесс автопентеста более наглядным и приближённым к реальным сценариям атак, а также помогает ИБ-специалистам расставлять приоритеты при устранении уязвимостей.

Главное отличие PT Dephaze от классических сканеров уязвимостей — в подходе.

Вместо длинного списка потенциальных проблем система показывает реальные цепочки атак, по которым злоумышленник может пройти от точки входа до ключевых систем. Такой формат помогает быстро понять, какие из найденных слабых мест действительно опасны и требуют немедленного реагирования.

Новая версия PT Dephaze умеет тестировать десятки тысяч узлов и охватывает всю корпоративную сеть. В список векторов атак добавлены Linux-системы, сетевые принтеры, решения для резервного копирования и инфраструктура Active Directory. Кроме того, продукт теперь связывает найденные логины и пароли с конкретными атаками, упрощая поиск и устранение уязвимостей.

Все действия PT Dephaze имитируют работу реального хакера, но проходят в полностью безопасном режиме. Команды ИБ могут управлять интенсивностью атак, исключать из проверки критически важные сервисы, а любые потенциально опасные действия выполняются только после ручного подтверждения.

«Клиенты часто просили сделать процесс тестирования максимально прозрачным, — рассказал Ярослав Бабин, директор по продуктам для симуляции атак в Positive Technologies. — Теперь можно увидеть весь путь атаки шаг за шагом — какие действия выполняются, какие уязвимости использованы и какие доказательства компрометации получены».

По итогам проверки PT Dephaze предоставляет конкретные доказательства проникновения — скомпрометированные IP-адреса, учётные записи и параметры конфигурации. Эти данные помогают ИТ-командам быстрее согласовать и реализовать исправления, превращая разговор о рисках в чёткий план действий.

В начале года PT Dephaze внесли в единый реестр российского ПО.