據(jù)BleepingComputer 6月25日消息，堪稱經(jīng)典的《超級(jí)馬里奧 3：永遠(yuǎn)的馬里奧》游戲正被網(wǎng)絡(luò)攻擊者植入惡意軟件，導(dǎo)致眾多玩家設(shè)備受到感染。

《超級(jí)馬里奧 3：永遠(yuǎn)的馬里奧》是由 Buziol Games 開發(fā)并于 2003 年在 Windows 平臺(tái)上發(fā)布的免費(fèi)重制版。該游戲一經(jīng)推出便頗受歡迎，被認(rèn)為是既保留了馬里奧系列的經(jīng)典機(jī)制，又具有更現(xiàn)代化的圖形、造型和聲音，目前已經(jīng)發(fā)布多個(gè)后續(xù)版本，修復(fù)了錯(cuò)誤并進(jìn)行了改進(jìn)。

但Cyble的研究人員發(fā)現(xiàn)，攻擊者正在分發(fā)《超級(jí)馬里奧 3：永遠(yuǎn)的馬里奧》安裝程序的修改樣本，并通過(guò)游戲論壇、社交媒體群組、惡意廣告等渠道進(jìn)行分發(fā)。

研究人員觀察到這些惡意游戲文件包含3個(gè)可執(zhí)行文件，其中1個(gè)用于安裝正常的游戲（“super-mario-forever-v702e.exe”），另外兩個(gè)“java.exe”和“atom.exe”則會(huì)被安裝到受害者的 AppData中的游戲安裝目錄，用來(lái)運(yùn)行 XMR (Monero) 挖礦程序和 SupremeBot 挖礦客戶端。

游戲內(nèi)包含的可執(zhí)行文件

除了上述文件外，另一個(gè)名為“Umbral Stealer”的文件則會(huì)從受害者的Windows 設(shè)備中竊取數(shù)據(jù)，包括存儲(chǔ)在網(wǎng)絡(luò)瀏覽器中的信息，例如存儲(chǔ)的密碼和包含會(huì)話令牌的 cookie、加密貨幣錢包以及 Discord、Minecraft、Roblox 和 Telegram 的憑證和身份驗(yàn)證令牌。

Umbral Stealer 還能創(chuàng)建受害者 Windows 桌面的屏幕截圖或操縱網(wǎng)絡(luò)攝像頭，所有被盜數(shù)據(jù)在傳輸?shù)?對(duì)方的C2服務(wù)器之前都將存儲(chǔ)在本地。對(duì)于未開啟篡改保護(hù)的設(shè)備，Umbral Stealer 能夠通過(guò)禁用該程序來(lái)逃避Windows Defender的檢測(cè)，但即便開啟了防篡改，也能將進(jìn)程排除在威脅列表之外。

此外，Umbral Stealer 還會(huì)修改 Windows 主機(jī)文件，以損害防病毒程序與其公司服務(wù)器的通信，從而破壞防病毒程序的有效性。

完整的感染連

安全專家建議，如果用戶最近下載了這款游戲，應(yīng)盡快對(duì)設(shè)備進(jìn)行惡意軟件掃描，刪除檢測(cè)到的任何惡意軟件，并在檢測(cè)到惡意軟件后，將存儲(chǔ)的任何敏感密碼信息重置，并使用密碼管理器進(jìn)行存儲(chǔ)。

同樣，下載游戲或任何軟件時(shí)，要確保從經(jīng)認(rèn)證的發(fā)行方網(wǎng)站或權(quán)威數(shù)字內(nèi)容分發(fā)平臺(tái)等官方來(lái)源進(jìn)行下載。