Jogo do Super Mario com Trojan foi utilizado para instalar malware no Windows
26 de Junho de 2023

Um instalador trojanizado do popular jogo Super Mario 3: Mario Forever para Windows tem infectado jogadores desprevenidos com várias infecções de malware.

Super Mario 3: Mario Forever é um remake gratuito do clássico jogo da Nintendo, desenvolvido pela Buziol Games e lançado para a plataforma Windows em 2003.

O jogo se tornou muito popular, baixado por milhões, que o elogiaram por apresentar todas as mecânicas da clássica série Mario, mas com gráficos atualizados e estilo e som modernizados.

O desenvolvimento do jogo continuou por mais uma década, lançando várias versões subsequentes que trouxeram correções de bugs e melhorias.

Hoje, ele permanece um clássico pós-moderno.

Pesquisadores da Cyble descobriram que atores de ameaças estão distribuindo uma amostra modificada do instalador do Super Mario 3: Mario Forever, distribuída como um executável de arquivo auto-extraível por canais desconhecidos.

O jogo trojanizado é provavelmente promovido em fóruns de jogos, grupos de mídia social ou enviado para usuários via malvertizing, Black SEO, etc.

O arquivo contém três executáveis, um que instala o jogo Mario legítimo ("super-mario-forever-v702e.exe") e dois outros, "java.exe" e "atom.exe", que são discretamente instalados no diretório AppData da vítima durante a instalação do jogo.

Uma vez que os executáveis maliciosos estão no disco, o instalador os executa para executar um minerador XMR (Monero) e um cliente de mineração SupremeBot.

O arquivo "java.exe" é um minerador Monero que coleta informações sobre o hardware da vítima e se conecta a um servidor de mineração em "moneroocean" para iniciar a mineração.

O SupremeBot ("atom.exe") cria uma cópia de si mesmo e coloca a cópia em uma pasta oculta no diretório de instalação do jogo.

Em seguida, ele cria uma tarefa agendada para executar a cópia que é executada a cada 15 minutos indefinidamente, escondendo-se sob o nome de um processo legítimo.

O processo inicial é encerrado e o arquivo original é excluído para evitar detecção.

Em seguida, o malware estabelece uma conexão C2 para transmitir informações, registrar o cliente e receber configuração de mineração para começar a minerar Monero.

Finalmente, o SupremeBot recupera um payload adicional do C2, chegando como um executável chamado "wime.exe".

Esse arquivo final é o Umbral Stealer, um ladrão de informações C # de código aberto disponível no GitHub desde abril de 2023, que rouba dados do dispositivo Windows infectado.

Esses dados roubados incluem informações armazenadas em navegadores da web, como senhas armazenadas e cookies contendo tokens de sessão, carteiras de criptomoedas e credenciais e tokens de autenticação para Discord, Minecraft, Roblox e Telegram.

O Umbral Stealer também pode criar capturas de tela da área de trabalho do Windows da vítima ou usar webcams conectadas para capturar mídia.

Todos os dados roubados são armazenados localmente antes de serem exfiltrados para o servidor C2.

O ladrão de informações é capaz de evitar o Windows Defender desabilitando o programa se a proteção contra adulteração não estiver habilitada.

Caso contrário, ele adiciona seu processo à lista de exclusão do Defender.

Além disso, o malware modifica o arquivo hosts do Windows para prejudicar a comunicação de produtos antivírus populares com sites da empresa, impedindo sua operação e eficácia regulares.

Se você baixou recentemente o Super Mario 3: Mario Forever, deve verificar seu computador em busca de malware instalado e remover qualquer um que for detectado.

Se o malware for detectado, você deve redefinir suas senhas em sites sensíveis, como bancos, finanças, criptomoedas e e-mails.

Ao redefinir as senhas, use uma senha única em cada site e utilize um gerenciador de senhas para armazená-las.

Também é importante lembrar que ao baixar jogos ou qualquer software, certifique-se de fazê-lo a partir de fontes oficiais, como o site do editor ou plataformas confiáveis de distribuição de conteúdo digital.

Sempre verifique os executáveis baixados usando seu software antivírus antes de executá-los e mantenha suas ferramentas de segurança atualizadas.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...