Attori Malintenzionati Usano un Installer Trojanizzato di Super Mario 3 per Diffondere Malware

I ricercatori di sicurezza di Cyble hanno scoperto che gli attori malintenzionati stanno distribuendo un campione alterato dell’installer di Super Mario 3: Mario Forever come archivio eseguibile autoestraente attraverso fonti non divulgate.

Un installer infetto da trojan per Super Mario Forever per Windows ha infettato giocatori ignari con molteplici infezioni da malware.

Super Mario 3: Mario Forever è un remake gratuito dell’originale Nintendo sviluppato dai Buzio Games ed è stato rilasciato per la piattaforma Windows nel 2003.

Come già sappiamo, il gioco è stato un successo immediato, scaricato da milioni di utenti in tutto il mondo e lodato per aver mantenuto le meccaniche classiche di Mario mentre offriva grafica e suoni moderni.

Procedendo, il gioco malware sembra essere promosso sui social media e nei gruppi di gioco o viene spinto agli utenti tramite Black SEO, malvertising e altro.

Leggi: Violazione Dati Massiva: Oltre 100K Account Chat GPT Rubati, Avverte Group IB

L’archivio contiene tre eseguibili; il primo è il gioco autentico di Mario (v702e.exe) seguito dagli altri due eseguibili che sono java.exe e atom.exe, che vengono installati in modo sicuro nei dati dell’app del bersaglio durante l’installazione del gioco.

Poiché gli eseguibili dannosi sono nel disco, l’installer li esegue per far funzionare un XMR che è un miner di Monero e il client di mining SupremeBot.

Il secondo eseguibile, cioè il file java.exe, è un miner di Monero che raccoglie informazioni sull’hardware del bersaglio e poi si connette a un server di mining su “gulf[.]moneroocean[.]stream” per iniziare il mining.

Il prossimo è il terzo eseguibile, cioè atom.exe (SupremeBot), che crea un duplicato di se stesso e posiziona una copia in una cartella nascosta nella directory del gioco. Dopo di che, crea un’attività pianificata per eseguire la copia, che si avvia ogni 15 minuti indefinitamente e si nasconde sotto il nome di un processo autentico.

Il processo iniziale viene fermato e il file originale viene eliminato per sfuggire alla rilevazione. Dopo di ciò, il malware stabilisce una connessione C2 per trasferire informazioni, registrare il client e ricevere configurazioni di mining per iniziare a minare Monero. Dopo tutto questo, SupremeBot riceve un payload dal C2, apparendo come un eseguibile chiamato wime.exe.

L’ultimo file è chiamato Umbral Stealer, un info stealer open-source in C# che è disponibile su GitHub da aprile di quest’anno, che ruba dati dalla macchina Windows compromessa.

Ruba informazioni salvate nei browser web, portafogli di criptovalute e cookie che contengono token di sessione e credenziali & token di autenticazione da Telegram, Discord e Roblox.

Lo Stealer può anche catturare uno screenshot del desktop di Windows compromesso o utilizzare una webcam collegata per catturare dati. Tutti i dati rubati vengono memorizzati localmente prima di essere trasferiti a un server C2.

L’info-stealer è abbastanza competente da sfuggire a Windows Defender disabilitando semplicemente il programma se la protezione da manomissione non è abilitata, e se non lo è, allora l’info-stealer aggiunge il suo processo alle liste di esclusione dell’antivirus.

In aggiunta a questo, il trojan può alterare il file host di Windows per danneggiare la comunicazione del famoso antivirus con il sito web dell’organizzazione, fermando le loro operazioni quotidiane e l’efficacia.

Detto ciò, se hai recentemente scaricato Super Mario 3: Mario Forever, dovresti scansionare il tuo computer personale per malware installati e rimuovere eventuali malware che vengono rilevati. Se il malware viene rilevato, dovresti cambiare le tue password su ogni sito web cruciale, bancario, email e altro.