I ricercatori di Cyble hanno scoperto una versione infetta di Super Mario 3: Mario Forever. Ignoti cybercriminali hanno utilizzato l’installer originale del gioco per distribuire tre malware, tra cui un miner Monero e un info-stealer. L’obiettivo è quindi usare le risorse del computer Windows per generare criptovalute e rubare i dati personali delle ignare vittime.
Attenzione all’installer fasullo
Super Mario 3: Mario Forever è un remake free-to-play del classico gioco di Nintendo, sviluppato da Buziol Games (Softendo) e rilasciato nel 2003. L’ultima versione 7.02e, pubblicata all’inizio del 2020, è quella presa di mira dai cybercriminali. L’installer infetto, distribuito come archivio auto-estraente tramite canali non ufficiali, contiene tre file eseguibili.
Il primo è l’eseguibile legittimo, ovvero super-mario-forever-v702e.exe
. Gli altri due sono java.exe
e atom.exe
. Tutti i file sono copiati nella directory AppData. Al termine della procedura di installazione, l’utente vede l’interfaccia grafica del gioco, ma in background sono eseguiti anche gli altri due file, ovvero XMR Miner (java.exe
) e il client di SupremeBot (atom.exe
).
XMR Miner raccoglie varie informazioni del computer (nome, CPU, GPU) che sono inviate al server C&C (command and control). Stabilisce quindi la connessione con il server di mining e avvia le attività sfruttando le risorse hardware. SupremeBot copia se stesso nella directory ProgramData, cancella l’eseguibile dalla directory AppData, aggiunge un’attività pianificata per l’esecuzione automatica ogni 15 minuti e scarica il file wime.exe
.
Quest’ultimo è Umbra Stealer, un info-stealer open source disponibile su GitHub. Il malware può rubare password e cookie dai principali browser, catturare screenshot e immagini dalla webcam, ottenere file di sessione da Telegram e token di Discord, accedere ai wallet di criptovalute. I dati vengono copiati nella directory Temp e quindi inviati al server remoto.