Sebuah installer yang terinfeksi Trojan untuk permainan populer Super Mario 3: Mario Forever untuk Windows telah menginfeksi pemain yang tidak curiga dengan beberapa infeksi malware.
Para peneliti dari Cyble menemukan bahwa pelaku ancaman sedang mendistribusikan sampel yang dimodifikasi dari installer Super Mario 3: Mario Forever, yang didistribusikan sebagai arsip eksekutor ekstraksi diri melalui saluran yang tidak diketahui.
Permainan yang terinfeksi trojan ini kemungkinan dipromosikan di forum game, grup media sosial, atau diberikan kepada pengguna melalui malvertizing, Black SEO, dan sebagainya.
Arsip ini berisi tiga file eksekutor, satu yang menginstal permainan Mario yang sah (“super-mario-forever-v702e.exe”) dan dua lainnya, “java.exe” dan “atom.exe,” yang secara diam-diam diinstal ke direktori AppData korban selama proses instalasi permainan tersebut.
Setelah file eksekutor jahat berada di dalam disk, installer menjalankannya untuk menjalankan penambang XMR (Monero) dan klien penambangan SupremeBot.
File “java.exe” adalah penambang Monero yang mengumpulkan informasi tentang perangkat keras korban dan terhubung ke server penambangan di “gulf[.]moneroocean[.]stream” untuk memulai penambangan.
SupremeBot (“atom.exe”) membuat duplikat dari dirinya sendiri dan menempatkan salinan tersebut di folder tersembunyi di direktori instalasi permainan.
Selanjutnya, ia membuat tugas terjadwal untuk menjalankan salinan tersebut setiap 15 menit secara tidak terbatas, menyembunyikan dirinya dengan nama proses yang sah.
Proses awal diakhiri dan file asli dihapus untuk menghindari deteksi. Kemudian, malware ini membentuk koneksi C2 untuk mengirimkan informasi, mendaftarkan klien, dan menerima konfigurasi penambangan untuk memulai penambangan Monero.
Terakhir, SupremeBot mengambil muatan tambahan dari C2, yang tiba sebagai file eksekutor bernama “wime.exe.”
Selengkapnya: Bleeping Computer
