トロイの木馬化した「マリオ」のゲームがマルウェアを拡散
任天堂の人気ゲーム「スーパーマリオブラザーズ」のWindowsプラットフォーム向けのリメイク版ゲーム「Super Mario 3: Mario Forever」にトロイの木馬が仕込まれ、モネロ(XMR)マイナーやSupremeBotマイニングクライアント、オープンソースのスティーラーUmbralといったさまざまなマルウェアの配布に利用されていることが、Cybleの研究者によって明かされた。
脅威アクターがゲームのNSISインストーラーを改ざん
脅威アクターらは、同ゲームのNSISインストーラー「Super-Mario-Bros.exe」を改ざんし、この中に正規のゲームアプリである「super-mario-forever-v702e.exe」と、有害な実行ファイルである「java.exe」(モネロマイナー)および「atom.exe」(SupremeBot)という3つのファイルを含めた。
インストーラー「Super-Mario-Bros.exe」は、super-mario-forever-v702e.exeを%appdata%ディレクトリに投下して実行する。するとゲームのインストール画面が表示され、ユーザーはゲームをプレイできるようになる。しかしその裏では、モネロマイナーとSupremeBotが密かに実行される。
「java.exe」(モネロマイナー)
java.exeは、実行されるとマイニングサーバー(gulf[.]moneroocean[.]stream)との接続を確立し、暗号資産マイニングを実施しようとするという。また同マルウェアは、コンピューター名、ユーザー名、GPU、CPUなど被害者のシステムの情報を集め、API(hxxp://shadowlegion[.]duckdns[.]org/nam/api/endpoint[.]php)経由でこれをC2サーバーへ転送する。
「atom.exe」(SupremeBot)
atom.exe(SupremeBot)もC2サーバーとの接続を確立してシステム情報を送信するほか、クライアントの登録やモネロマイナー用コンフィグの受信を行う。また最終的に情報窃取実行ファイル「wime.exe」をC2から呼び出し、wime.exeによってオープンソーススティーラーのUmbralがプロセスメモリ内にロードされる。
Umbralスティーラーには、以下のような性能が備わっているとされる。
・スクリーンショットの撮影
・ブラウザパスワードとクッキーの窃取
・Webカメラ画像の撮影
・TelegramセッションファイルとDiscordトークンの窃取
・RobloxクッキーとMinecraftセッションファイルの窃取
・暗号資産ウォレットに関連するファイルの収集
推奨される対策は?
「Super Mario 3: Mario Forever」を最近ダウンロードしたばかりのユーザーに対しては、コンピューターをスキャンしてマルウェアがインストールされていないか確認することと、検出された場合にはそれを除去することが推奨されている。
またそれ以外のユーザーに対しても、ゲームやその他のソフトウェアのダウンロードは、開発者のWebサイトや信頼できる配信プラットフォームなど、公式なソースからのみ行うことが重要だとされる。さらに、ダウンロードした実行可能ファイルは起動前に必ずアンチウイルスソフトでスキャンすることや、セキュリティツールを常に最新に保つことも大切。
(情報源:SecurityAffairs ”Trojanized Super Mario Bros game spreads malware”、BleepingComputer ”Trojanized Super Mario game used to install Windows malware”)