เมนู

Super Mario ถูกใช้กระจายมัลแวร์

3 กรกฎาคม 2566
กนิษฐา พุ่มผล

โทรจันแฝงในตัวติดตั้งเกมส์ยอดนิยม Super Mario 3: Mario Forever สำหรับ Windows ทำให้ติดมัลแวร์หนึบหนับ !

เกมส์ Super Mario 3: Mario Forever เป็นคลาสสิกฟรีเกมส์จาก Nintendo ซึ่งพัฒนาขึ้นโดย Buziol Games เผยแพร่บนแพลตฟอร์ม Windows ตั้งแต่ปี 2003 ซึ่งได้รับความนิยมเป็นอย่างสูง มีการดาวน์โหลดไปกว่าล้านสำเนาโดยคงไว้ซึ่งฟีเจอร์ตามต้นตำรับเกมส์ Mario แต่ได้รับการปรับปรุงด้านกราฟฟิกและเสียงที่ทันสมัยขึ้น อีกทั้งยังได้มีการสร้างด่านใหม่ๆ ออกเวอร์ชั่นย่อยอีกหลายเวอร์ชั่นเพื่อการปรับปรุงและแก้ไขบั๊ก ในวันนี้จึงเป็นเกมส์ร่วมสมัยในยุค Post-Modern Classic นั่นเอง

ทีมนักวิจัยจาก Cyble พบผู้โจมตีพยายามแพร่กระจายโปรแกรมติดตั้งเกมส์ Super Mario 3: Mario Forever ซึ่งได้รับการผนวกรวมโทรจันแล้วในรูปแบบไฟล์ self-extracting archive executable ด้วยวิธีการที่ไม่เป็นที่เปิดเผยไปยังฟอรัมเกมส์ สื่อสังคมออนไลน์ หรือส่งตรงไปยังผู้ใช้ผ่านการโฆษณาที่ไม่เหมาะสม (Black SEO) เป็นต้น 

ไฟล์ที่เกี่ยวข้องประกอบด้วย 3 ไฟล์ โดยไฟล์แรก “super-mario-forever-v702e.exe” เป็นตัวติดตั้งของเกมส์ Super Mario ในขณะที่ไฟล์ “java.exe” และ “atom.exe” จะถูกลักลอบติดตั้งในไดเร็กทอรี AppData บนเครื่องเป้าหมายในขณะที่ทำการติดตั้งเกมส์

เมื่อมัลแวร์ถูกถ่ายโอนไปยังดิสก์ของเครื่องเป้าหมายแล้ว ตัวติดตั้งก็จะเรียกใช้ไฟล์เหล่านี้เพื่อรัน XMR (Monero) Miner และ SupremeBot Mining Client

ไฟล์ “java.exe” เป็น Monero miner ซึ่งจะรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ฮาร์ดแวร์ของเครื่องเป้าหมายและเชื่อมต่อไปยัง Mining Server ที่ “gulf[.]moneroocean[.]stream” เพื่อเริ่มการขุดเหมือง ส่วนไฟล์ “atom.exe” เป็น SupremeBot ที่จะสร้างสำเนาของตัวเองขึ้นมา และนำไปเก็บไว้ในโฟลเดอร์ที่ถูกซ่อนไว้ภายใต้ไดเรกทอรี่ของเกมส์ จากนั้น มัลแวร์จะทำการสร้าง Task ซึ่งตั้งเวลาการดำเนินการในทุก 15 นาที โดยไม่สิ้นสุดภายใต้ชื่อโปรเซสที่ได้รับสิทธิ์ในการปฏิบัติงาน

เมื่อสิ้นสุดกระบวนการเริ่มต้นและไฟล์ต้นฉบับถูกลบออกเพื่อหลีกเลี่ยงการตรวจจับแล้ว มัลแวร์จะพยายามติดต่อกลับไปยัง C2 เพื่อจัดส่งข้อมูลและลงทะเบียนเครื่อง Client ก่อนที่จะรับคำสั่งเพื่อการขุดเหมือง Monero ต่อไป จากนั้น SupremeBot จะได้รับคำสั่งเพิ่มเติมจาก C2 ในรูปแบบ Executable File ชื่อ “wime.exe.”

นอกจากนี้ ยังเกี่ยวข้องกับไฟล์ Umbral Stealer ซึ่งเป็น open-source C# ที่เผยแพร่บน GitHub ตั้งแต่เดือนเมษายน 2566 ทำหน้าที่โจรกรรมข้อมูลโดยดักจับจากเครื่อง Windows ที่ติดเชื้ออีกด้วย โดยข้อมูลที่ถูกโจรกรรมนี้ประกอบด้วยข้อมูลที่จัดเก็บไว้ภายใน Web Browser อาทิ รหัสผ่านที่ได้รับการบันทึกไว้ คุกกี้ซึ่งบรรจุ Session Token กระเป๋าเงิน Cryptocurrency ตลอดจน Token ซึ่งใช้ในการยืนยันตัวตนสำหรับ Discord, Minecraft, Roblox และ Telegram เป็นต้น นอกจากนี้ ยังสามารถแคปเจอร์ภาพบนจอภาพของเครื่องเหยื่อ รวมถึงเชื่อมต่อกับ Webcams ได้อีกด้วย โดยข้อมูลที่โจรกรรมมาได้จะถูกจัดเก็บไว้บนเครื่อง Local ก่อนที่จะส่งออกไปยัง C2 Server เพื่อเผยแพร่ต่อไป

บรรดา Info-Stealer นี้สามารถหลบเลี่ยง Windows Defender ได้โดยการ Disable โปรแกรมเมื่อฟังก์ชั่น Tamper Protection ถูกปิดอยู่ หรืออาจใช้วิธีการเพิ่มโปรเซสของตนเองเข้าไปในลิสต์ที่ได้รับการอนุญาตของ Windows Defender 

นอกจากนั้น มัลแวร์ยังทำการแก้ไขไฟล์ hosts บน Windows อีกด้วย เพื่อทำลายช่องทางการสื่อสารระหว่างโปรแกรมป้องกันไวรัสและไซต์ของผลิตภัณฑ์ในอันที่จะป้องกันการปฏิบัติงานและลดทอดประสิทธิภาพอีกด้วย

คำแนะนำ

  • หากได้ดาวน์โหลดเกมส์ Super Mario 3: Mario Forever มาเร็วๆ นี้ ควรสแกนเพื่อตรวจสอบหามัลแวร์ และรีบลบออกทันทีหากตรวจสอบพบ
  • หากตรวจพบมัลแวร์ ควรทำการเปลี่ยนรหัสผ่านทันที โดยเฉพาะกับเว็บไซต์ที่มีความสำคัญ เช่น เว็บไซต์ของธนาคาร สถาบันการเงิน แพลตฟอร์มสกุลเงินดิจิตอล และอีเมล ทั้งนี้ ควรเปลี่ยนรหัสผ่านให้มีความแตกต่างกันในทุกเว็บไซต์หรืออาจใช้โปรแกรมจัดการรหัสผ่าน (Password Manager) เพื่อจัดเก็บรหัสผ่านเหล่านั้น
  • พึงระลึกไว้เสมอว่า ในการดาวน์โหลดเกมส์หรือซอฟต์แวร์ใดๆ ควรต้องดำเนินการจากแหล่งที่น่าเชื่อถือ เช่น จากเว็บไซต์อย่างเป็นทางการของเจ้าของผลิตภัณฑ์
  • สแกนทุกไฟล์ที่ได้ดาวน์โหลดมาด้วยโปรแกรมป้องกันไวรัสก่อนการเรียกใช้งาน รวมถึงหมั่นอัพเดทเครื่องมือด้านความมั่นคงปลอดภัยตลอดเวลา | Bleeping Computer