Cybleはこのほど、「Cyble — Trojanized Super Mario Game Installer Spreads SupremeBot Malware」において、悪意のあるスーパーマリオゲームが配信されているとして、注意を呼び掛けた。「Super Mario 3: Mario Forever」と呼ばれるPCファンゲームのインストーラにマルウェアが混入されていたことが明らかとなった。

トロイの木馬化されたスーパーマリオゲームのインストーラが特定された。「super-mario-forever-v702e」というインストーラファイルに複数のマルウェアがバンドルされており、XMR miner、SupremeBotといった悪意のあるプログラムを含まれていることがわかった。

  • Super Mario 3: Mario Forever Game GUI|Cyble

    Super Mario 3: Mario Forever Game GUI|Cyble

  • Infection chain|Cyble

    Infection chain|Cyble

XMR minerはユーザーの同意や認識なしにバックグラウンドで動作し、リソースを無許可で使用して暗号資産であるMoneroをマイニングする可能性があるクリプトマイナー。SupremeBotはマイニングクライアントとして動作するとともに、コマンド&コントロール(C2: Command and Control)サーバへの接続を確立することが確認されている。コマンド&コントロールサーバに接続後、Umbral Stealerと呼ばれるインフォスティーラをダウンロードすることも明らかにされている。

Umbral Stealerは、C#で開発されている軽量で効率的な情報窃取型マルウェア。感染したシステムからさまざまな種類のデータを素早く収集し、Discordを悪用して攻撃者に送信するよう設計されている。2023年4月からGitHubで公開されており、継続的に更新されているという。

脅威者にとってゲーマは魅力的なターゲットとなっている。悪用されたのは公式のマリオゲームではないが、世界中に多くのファンがいるとされるマリオがサイバー犯罪に利用されたことになる。マイニング攻撃と情報窃取攻撃が組み合わさることで被害者のシステムパフォーマンスが大幅に低下するだけでなく、金銭的な損失も発生するため、このような攻撃の被害者とならないよう注意することが望まれている。