Los actores de amenazas utilizan un instalador de juego de Super Mario 3 con troyano para propagar malware

Los investigadores de seguridad de Cyble encontraron que los actores de amenazas están distribuyendo una muestra alterada del instalador de Super Mario 3: Mario Forever como un archivo ejecutable autoextraíble a través de fuentes no divulgadas.

Un instalador lleno de troyanos para Super Mario Forever para Windows ha estado infectando a jugadores desprevenidos con múltiples infecciones de malware.

Super Mario 3: Mario Forever es un remake gratuito del original de Nintendo desarrollado por Buzio Games y fue lanzado para la plataforma Windows en 2003.

Como ya sabemos, el juego fue un éxito instantáneo, descargado por millones de usuarios en todo el mundo y elogiado por mantener la mecánica clásica de Mario mientras le daba gráficos y sonido modernos.

Pasando a otro tema, el juego de malware parece ser promovido en redes sociales y grupos de juegos o se está empujando a los usuarios a través de SEO negro, malvertising y más.

Leer: Filtración masiva de datos: más de 100K cuentas de Chat GPT robadas, advierte Group IB

El archivo tiene tres ejecutables; el primero es el auténtico juego de Mario (v702e.exe) y seguido por los otros dos ejecutables que son java.exe y atom.exe, que se instalan de manera segura en los datos de la aplicación del objetivo durante la instalación del juego.

Como los ejecutables maliciosos están en el disco, el instalador los ejecuta para ejecutar un XMR que es un minero de Monero y el cliente de minería SupremeBot.

El segundo ejecutable, es decir, el archivo java.exe, es un minero de Monero que recopila información sobre el hardware del objetivo y luego se conecta a un servidor de minería en “gulf[.]moneroocean[.]stream” para comenzar la minería.

A continuación, está el tercer ejecutable, es decir, atom.exe (SupremeBot), que hace una copia de sí mismo y coloca una copia en una carpeta oculta en el directorio del juego. Después de eso, crea una tarea programada para realizar la copia, que se ejecuta cada 15 minutos indefinidamente y se oculta bajo el nombre de un proceso auténtico.

El proceso inicial se detiene y el archivo original se elimina para escapar de la detección. Después de eso, el malware establece una conexión C2 para transferir información, registrar al cliente y recibir la configuración de minería para comenzar a minar Monero. Después de todo esto, SupremeBot recibe una carga útil del C2, apareciendo como un ejecutable llamado wime.exe.

El último archivo se llama Umbral Stealer, un ladrón de información de código abierto en C# que ha estado disponible en GitHub desde abril de este año, que roba datos de la máquina Windows comprometida.

Roba información guardada en navegadores web, billeteras de criptomonedas y cookies que contienen tokens de sesión y credenciales & tokens de autenticación de Telegram, Discord y Roblox.

El ladrón también puede tomar una captura de pantalla del escritorio de Windows comprometido o usar una cámara web conectada para capturar datos. Todos los datos robados se almacenan localmente antes de ser transferidos a un servidor C2.

El ladrón de información es lo suficientemente competente como para escapar de Windows Defender desactivando simplemente el programa si la protección contra manipulaciones no está habilitada, y si no, entonces el ladrón de información agrega su proceso a las listas de exclusión del antivirus.

Además de esto, el troyano puede alterar el archivo de hosts de Windows para perjudicar la comunicación del famoso antivirus con el sitio web de la organización, deteniendo su operación y efectividad diaria.

Dicho esto, si has descargado recientemente Super Mario 3: Mario Forever, deberías escanear tu computadora personal en busca de malware instalado y eliminar cualquier malware que se detecte. Si se detecta malware, deberías cambiar tus contraseñas en cada sitio web crucial, bancario, de correo electrónico y más.

Leer: Grupo de hackers rusos Shuckworm sigue apuntando a organizaciones de seguridad de Ucrania