免費下載 PC 遊戲讓許多遊戲玩家毫無招架之力，小心戲使更別說超經典的別下免費重製版〈超級瑪利歐 3：永遠的瑪利歐〉（Super Mario 3: Mario Forever），狂熱玩家一心一意急著下載，載木根本不會想到遊戲是馬化瑪利否安全。最近網路出現專門引誘毫無戒心使用者下載的歐遊木馬化〈超級瑪利歐 3〉，許多玩家電腦就感染多種惡意軟體。電腦

〈超級瑪利歐 3〉重製版是恐淪客挖礦機免費遊戲，有經典瑪利歐系列所有機制，為駭更賦與現代化風格與音效，小心戲使非常受歡迎，別下已有數百萬次下載量。載木遊戲由 Buziol Games 開發，馬化瑪利2003 年推出 Windows 版，歐遊歷經多次更新仍是電腦膾炙人口的經典遊戲。

全球威脅情報 SaaS 服務供應商 Cyble 研究員發現，恐淪客挖礦機駭客透過未知管道（可能是遊戲論壇、社群媒體、惡意廣告或黑帽 SEO 等接觸使用者）散布修改過〈超級瑪利歐 3〉安裝程式，並以自動解壓縮執行檔形式四處散播。

遊戲下載後會自動解壓縮並植入挖礦惡意軟體

惡意壓縮檔含三個可執行檔，分別是合法瑪利歐遊戲的安裝執行檔（super-mario-forever-v702e.exe）、Java.exe（XMR 門羅幣挖礦程式）及 atom.exe（SupremeBot 挖礦機器人），會在安裝過程悄悄植入 AppData 目錄。

Java.exe 會收集硬體資訊，連接到 gulf.moneroocean.stream 挖礦伺服器後就開始挖礦。SupremeBot 則會將自我複製副本放入遊戲安裝目錄的隱藏資料夾，機器人程式會建立排程任務，以隱藏在合法程序名稱下的手法，無限期地每 15 分鐘執行一次副本。

初始程序終止後，惡意軟體會刪除原始檔以便規避安全偵測，並和遠端 C2 伺服器連線並發送資訊、登錄用戶端，接收挖礦配置以開始挖門羅幣（Monero，XMR）。最後 SupremeBot 會向 C2 伺服器檢索額外封包負載，下載「time.exe」可執行檔（會植入 Umbral Stealer 竊密木馬程式）。

最終植入能竊密、截圖、偷拍並讓防毒軟體失效的 Umbral Stealer

Umbral Stealer 是自 2023 年 4 月開始 GitHub 取得的開源 C# 竊密木馬程式，駭客可透過它竊取 Windows 裝置機密資料，包括存在瀏覽器的密碼、含階段作業記號（Session Token）的 Cookie 及加密貨幣錢包，以及 Discord、〈Minecraft〉、Roblox 或 Telegram 的憑證與身分驗證令牌等資料。

最可怕的是，Umbral Stealer 不但能擷取受害者電腦螢幕畫面，還能劫持網路攝影機捕捉使用者一舉一動。如果使用者未啟用 Windows 系統防篡改保護設定，竊密程式還能透過禁用 Windows Defender 程式規避 Windows 安全偵測。即使關不了 Windows Defender，竊密木馬程式還能將自己新增到 Defender 排除項目，一樣能逃過偵測。惡意軟體更能修改 Windows Hosts 系統檔，讓其他防毒軟體失效。

如果使用者最近下載安裝〈超級瑪利歐 3〉，最好透過雲端線上掃毒偵測，確認是否下載到木馬版，甚至已遭植入惡意軟體。

• Trojanized Super Mario game used to install Windows malware

（首圖來源：Cyble）