トロイの木馬化されたスーパーマリオブラザーズのゲームインストーラーに、XMRマイナー、SupremeBotマイニングクライアント、そしてオープンソースのUmbral Stealerを含む複数の悪意あるコンポーネントが含まれていることが判明しました。
この発見はCyble Research and Intelligence Labs(CRIL)のセキュリティ研究者によるもので、先週金曜日に公開された注意喚起でこの脅威について説明しています。
技術的な解説によると、この悪意あるキャンペーンは、ゲームに一般的に伴う高性能なハードウェアを悪用して暗号資産をマイニングし、機密情報を盗み出します。
「マルウェアファイルは、super-mario-forever-v702eの正規インストーラーファイルに同梱されている状態で見つかりました」とCRILは説明しています。「この事例は、TA(脅威アクター)がゲームインストーラーを配布手段として利用するもう一つの理由を浮き彫りにしています。」
類似の攻撃について詳しく読む:トロイの木馬化されたインストーラーがBumblebeeマルウェアの配布に使用される
攻撃チェーンは、正規のインストーラーファイルに同梱されたトロイの木馬化スーパーマリオブラザーズのゲームインストーラーから始まり、疑いのないユーザーに悪意あるペイロードを配布します。
実行されると、マルウェアは密かにファイルをドロップし、それらの実行を開始します。ドロップされるファイルには、暗号資産マイニングのために被害者の計算資源を利用するXMRマイナーと、マイニングプロセスの管理を担うSupremeBotマイニングクライアントが含まれます。
またマルウェアは、オープンソースの情報窃取型マルウェアであるUmbral Stealerを展開し、被害者のシステムからコンピューター名、ユーザー名、GPU、CPUなどのデータを盗み取ります。盗まれたデータはその後、攻撃者のコマンド&コントロール(C2)サーバーへ送信されます。
CRILによると、マイニング活動と情報窃取の組み合わせにより、金銭的損失、システム性能の低下、リソースの枯渇が生じます。
「その結果、個人ユーザーと組織の双方が深刻な生産性の低下に見舞われます」と注意喚起には記されています。
このような脅威から身を守るため、同社はユーザーおよび組織に対し、システム性能の監視、厳格なセキュリティポリシーの実装、信頼できないソースからのソフトウェアのダウンロードを控えること、そして信頼性の高いアンチウイルスソフトを利用することを推奨しました。
「CRILは流通している最新のマルウェア亜種を警戒して継続的に監視し、こうした攻撃からユーザーを守るために実用的なインテリジェンスでブログを継続的に更新しています」と、注意喚起は結んでいます。
編集用画像クレジット:Andrei Armiagov / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/trojanized-super-mario-installer/
