数百万回ダウンロードされたファンメイド版「スーパーマリオ」にPCを乗っ取るトロイの木馬が混入

by Dave Hunt

任天堂の「スーパーマリオ」シリーズのクローンであるWindows向けゲーム「Super Mario 3: Mario Forever」のインストーラーに、仮想通貨を不正にマイニングさせたり、銀行口座などの情報を盗み出したりすることを目的としたトロイの木馬を紛れ込ませたものが発見されたと、セキュリティ企業のCybleが報告しました。

Cyble — Trojanized Super Mario Game Installer Spreads SupremeBot Malware
https://blog.cyble.com/2023/06/23/trojanized-super-mario-game-installer-spreads-supremebot-malware/

Trojanized Super Mario game used to install Windows malware
https://www.bleepingcomputer.com/news/security/trojanized-super-mario-game-used-to-install-windows-malware/

「Super Mario 3: Mario Forever」は、Buziol Gamesというインディーゲームスタジオが2003年にリリースした無料ゲームです。IT系ニュースサイトのBleeping Computerによると、オリジナルのスーパーマリオの要素を受け継ぎつつ新しいグラフィックと音楽を盛り込んだことが好評を博し、これまでに数百万回はダウンロードされているとのこと。

セキュリティ企業・Cybleの研究者は2023年6月23日に、この「Super Mario 3: Mario Forever」のインストーラーに手を加えたものが、脅威アクターによって配布されていることを報告しました。

問題のインストーラーには3つの実行ファイルが格納されており、1つは正規のゲームのインストールする実行ファイル「super-mario-forever-v702e.exe」です。このゲームそのものに異常はないため、インストールすることで正常にプレイできるとのこと。

しかし、インストールと同時に「java.exe」と「atom.exe」も解凍され、隠しファイルとしてこっそり実行されます。ふたつのうち、「java.exe」は仮想通貨のMoneroをマイニングするツールで、「atom.exe」は被害者の端末をC＆Cサーバーと接続し、マイニング設定を受信するものです。これにより、ゲームをインストールした人のPCではユーザーの同意や認識なしでのマイニングがバックグラウンドで秘密裏に実行されます。

さらに、「atom.exe」は2023年4月からGitHubで配布されている「Umbral Stealer」というインフォスティーラー、いわゆる情報窃取マルウェアを格納した「wime.exe」というファイルをダウンロードし、実行します。

「Umbral Stealer」の機能は多彩で、画面のスクリーンショット、ウェブカメラのキャプチャー、ブラウザに保存されているパスワードとCookie、仮想通貨ウォレットに関連するファイル、Telegram・Discord・Roblox・Minecraftのユーザー情報などを根こそぎ盗み出します。

主なターゲットとなるブラウザは、「Brave」「Chrome」「Chromium」「Comodo」「Edge」「EpicPrivacy」「Iridium」「Opera」「OperaGx」「Slimjet」「Ur」「Vivaldi」「Yandex」です。

Cybleは今回見つかった攻撃について、「このコインマイナーマルウェアによるキャンペーンは、『Super Mario Forever』を利用してゲーマーやゲーム目的で高性能なPCを使っている個人を標的としたものです。ゲームコミュニティに属している人は、広範かつ相互に接続されているため、脆弱(ぜいじゃく)性を悪用してさまざまな悪意のある活動を行うことを目的とする脅威アクターにとって魅力的なターゲットです」と指摘しました。

また、Bleeping Computerは「最近このゲームをダウンロードした人は、PCにマルウェアが侵入していないかスキャンして、検出されたものは全て削除してください。そして、銀行や金融機関、仮想通貨、電子メールなど機密性の高いサイトのパスワードはリセットする必要があります。また、ゲームなどのソフトウェアをダウンロードする際は、ゲーム開発者の公式サイトや信頼できる配信プラットフォームなど、公式のソースから入手するのも重要です」と呼びかけました。