Les acteurs de la menace utilisent un installateur de jeu Super Mario 3 trojanisé pour propager des logiciels malveillants

Les chercheurs en sécurité de Cyble ont découvert que les acteurs de la menace distribuent un échantillon d’installateur modifié de Super Mario 3 : Mario Forever sous forme d’archive exécutable auto-extractible par le biais de sources non divulguées.

Un installateur rempli de trojans pour Super Mario Forever pour Windows a infecté des joueurs non soupçonneux avec plusieurs infections de logiciels malveillants.

Super Mario 3 : Mario Forever est un remake gratuit du jeu original Nintendo développé par Buzio Games et a été publié pour la plateforme Windows en 2003.

Comme nous le savons déjà, le jeu a été un succès instantané, téléchargé par des millions d’utilisateurs dans le monde entier et salué pour avoir conservé les mécaniques classiques de Mario tout en offrant des graphismes et un son modernes.

Pour continuer, le jeu malveillant est apparemment promu sur les réseaux sociaux et dans des groupes de jeux ou est poussé aux utilisateurs via le Black SEO, le malvertising, et plus encore.

Lire : Violation massive de données : Plus de 100K comptes Chat GPT volés, avertit Group IB

L’archive contient trois exécutables ; le premier est le véritable jeu Mario (v702e.exe) suivi des deux autres exécutables qui sont java.exe et atom.exe, qui sont installés en toute sécurité dans les données de l’application de la cible pendant l’installation du jeu.

Une fois que les exécutables malveillants sont sur le disque, l’installateur les exécute pour faire fonctionner un XMR qui est un mineur de Monero et le client de minage SupremeBot.

Le deuxième exécutable, c’est-à-dire le fichier java.exe, est un mineur de Monero qui collecte des informations sur le matériel de la cible et se connecte ensuite à un serveur de minage à “gulf[.]moneroocean[.]stream” pour commencer le minage.

Ensuite, le troisième exécutable, c’est-à-dire atom.exe (SupremeBot), fait un duplicata de lui-même et place une copie dans un dossier caché dans le répertoire du jeu. Après cela, il crée une tâche planifiée pour effectuer la copie, qui s’exécute toutes les 15 minutes indéfiniment et se cache sous le nom d’un processus authentique.

Le processus initial est arrêté, et le fichier original est supprimé pour échapper à la détection. Après cela, le logiciel malveillant établit une connexion C2 pour transférer des informations, enregistrer le client et recevoir la configuration de minage pour commencer à miner du Monero. Après tout cela, SupremeBot reçoit une charge utile du C2, apparaissant comme un exécutable nommé wime.exe.

Le dernier fichier est appelé Umbral Stealer, un voleur d’informations open-source en C# qui est disponible sur GitHub depuis avril de cette année, qui vole des données de la machine Windows compromise.

Il vole des informations enregistrées dans les navigateurs web, les portefeuilles de cryptomonnaie, et des cookies contenant des jetons de session, ainsi que des identifiants et des jetons d’authentification de Telegram, Discord et Roblox.

Le voleur peut également prendre une capture d’écran du bureau Windows compromis ou utiliser une webcam connectée pour capturer des données. Toutes les données volées sont stockées localement avant d’être transférées à un serveur C2.

Le voleur d’informations est suffisamment compétent pour échapper à Windows Defender en désactivant simplement le programme si la protection contre la falsification n’est pas activée, et sinon, le voleur d’informations ajoute son processus aux listes d’exclusion de l’antivirus.

En plus de cela, le trojan peut modifier le fichier hôte de Windows pour nuire à la communication de l’antivirus célèbre avec le site web de l’organisation, arrêtant leur fonctionnement quotidien et leur efficacité.

Cela dit, si vous avez récemment téléchargé Super Mario 3 : Mario Forever, vous devriez scanner votre ordinateur personnel pour détecter les logiciels malveillants installés et supprimer tout logiciel malveillant détecté. Si des logiciels malveillants sont détectés, vous devriez changer vos mots de passe sur tous les sites web cruciaux, bancaires, email, etc.

Lire : Le groupe de hackers russes Shuckworm continue de cibler les organisations de sécurité en Ukraine