Atores de Ameaças Usam Instalador Trojanizado do Jogo Super Mario 3 para Espalhar Malware

Pesquisadores de segurança da Cyble descobriram que os atores de ameaças estão distribuindo uma amostra alterada do instalador do Super Mario 3: Mario Forever como um arquivo executável autoextraível através de fontes não divulgadas.

Um instalador cheio de trojans para Super Mario Forever para Windows tem infectado jogadores desprevenidos com múltiplas infecções de malware.

Super Mario 3: Mario Forever é um remake gratuito do original da Nintendo, desenvolvido pela Buzio Games e lançado para a plataforma Windows em 2003.

Como já sabemos, o jogo foi um sucesso instantâneo, baixado por milhões de usuários em todo o mundo e elogiado por manter a mecânica clássica do Mario enquanto oferecia gráficos e sons modernos.

Seguindo em frente, o jogo de malware parece ser promovido em redes sociais e grupos de jogos ou está sendo empurrado para os usuários via SEO negro, malvertising e mais.

Leia: Violação de Dados Maciça: Mais de 100K Contas do Chat GPT Roubadas, Alerta o Grupo IB

O arquivo contém três executáveis; o primeiro é o jogo autêntico do Mario (v702e.exe) e seguido pelos outros dois executáveis que são java.exe e atom.exe, que são instalados com segurança nos dados do aplicativo do alvo durante a instalação do jogo.

Como os executáveis maliciosos estão no disco, o instalador os executa para rodar um XMR que é um minerador de Monero e o cliente de mineração SupremeBot.

O segundo executável, ou seja, o arquivo java.exe, é um minerador de Monero que coleta informações sobre o hardware do alvo e então se conecta a um servidor de mineração em “gulf[.]moneroocean[.]stream” para iniciar a mineração.

Em seguida, temos o terceiro executável, ou seja, atom.exe (SupremeBot), que faz uma duplicata de si mesmo e coloca uma cópia em uma pasta oculta no diretório do jogo. Depois disso, cria uma tarefa agendada para executar a cópia, que roda a cada 15 minutos indefinidamente e se esconde sob o nome de um processo autêntico.

O processo inicial é interrompido, e o arquivo original é deletado para escapar da detecção. Após isso, o malware estabelece uma conexão C2 para transferir informações, registrar o cliente e receber a configuração de mineração para começar a minerar Monero. Depois de tudo isso, o SupremeBot recebe um payload do C2, aparecendo como um executável chamado wime.exe.

O último arquivo é chamado de Umbral Stealer, um ladrão de informações open-source em C# que está disponível no GitHub desde abril deste ano, que rouba dados da máquina Windows comprometida.

Ele rouba informações salvas em navegadores web, carteiras de criptomoedas e cookies que contêm tokens de sessão e, credenciais e tokens de autenticação do Telegram, Discord e Roblox.

O Stealer também pode tirar uma captura de tela da área de trabalho do Windows comprometida ou usar uma webcam conectada para capturar dados. Todos os dados roubados são armazenados localmente antes de serem transferidos para um servidor C2.

O ladrão de informações é competente o suficiente para escapar do Windows Defender simplesmente desativando o programa se a proteção contra manipulação não estiver ativada, e se não, então o ladrão de informações adiciona seu processo às listas de exclusão do antivírus.

Além disso, o trojan pode alterar o arquivo hosts do Windows para prejudicar a comunicação do famoso antivírus com o site da organização, interrompendo sua operação e eficácia diárias.

Dito isso, se você baixou recentemente o Super Mario 3: Mario Forever, você deve escanear seu computador pessoal em busca de malware instalado e remover qualquer malware que for detectado. Se o malware for detectado, você deve mudar suas senhas em todos os sites cruciais, bancários, de e-mail e mais.

Leia: Grupo de Hackers Russos Shuckworm Ainda Alvo de Organizações de Segurança da Ucrânia