駭客利用《超級瑪利歐》遊戲來散布Windows惡意程式

資安業者Cyble近日發現，繼《應徵入伍》（Enlisted）、《MSI Afterburner》與《FiveM Spoofer》等遊戲的相關程式之後，《超級瑪利歐》（Super Mario）遊戲的安裝程式已成為駭客散布惡意程式最新跳板，駭客的動機一致，都是想要利用遊戲玩家的高階硬體設備來替它們挖礦。

Cyble所分析的惡意程式樣本為Super-Mario-Bros.exe，它是個32位元的Nullsoft Installer（NSIS）自動解壓縮執行檔案，內含《Super Mario 3 : Mario Forever》執行檔，也暗中夾帶了XMR miner、SupremeBot挖礦客戶端程式，及開源的Umbral Stealer資訊竊取程式。

受害者執行該安裝程式之後，可正常展開《超級瑪利歐》遊戲，但它同時也會於背景安裝用來開挖門羅幣的XMR Miner，連結礦工網路、接收挖礦任務，以及管理挖礦過程的SupremeBot，此外，SupremeBot還會另外下載Umbral Stealer。

Umbral Stealer是個開源的Windows資訊竊取程式，作者在今年4月將它張貼在GitHub且持續更新，它能夠捕捉螢幕畫面，捕捉攝影機畫面，汲取瀏覽器密碼與Cookie，取得Telegram期間檔案，取得Roblox相關Cookie及Minecraft期間檔案，還能蒐集與加密貨幣錢包有關的檔案。

此外，Umbral Stealer適用於Chrome、Edge、Chromium、Brave、Opera及Vivaldi等各式瀏覽器（沒有Firefox），並鎖定Zcash、Armory及Bytecoin等10款加密貨幣錢包。

顯然駭客除了想利用受害者的硬體資源之外，亦企圖蒐集受害者的機密資訊以進一步謀財，為了避免自己的系統淪為駭客的挖礦工具，Cyble建議使用者應定期檢查自己的系統效能與CPU使用率，啟用軟體自動更新配置，以及安裝可靠的防毒軟體等。