Os cibercriminosos usam muitos artifícios para entregarem malwares aos mais diversos sistemas e fazerem suas vítimas. Agora, por exemplo, um instalador trojanizado para o popular jogo Super Mario 3: Mario Forever para Windows tem infectado jogadores desavisados com múltiplas infecções por malware.
Hackers usam jogo do Super Mario para entregarem malware
Super Mario 3: Mario Forever é um remake free-to-play do clássico jogo da Nintendo desenvolvido pela Buziol Games e lançado para a plataforma Windows em 2003. O jogo se tornou muito popular, baixado por milhões, que o elogiaram por apresentar todas as mecânicas da clássica série Mario, mas com gráficos atualizados e estilo e som modernizados.
O desenvolvimento do jogo continuou por mais uma década, lançando várias versões subsequentes que trouxeram correções de bugs e melhorias. Hoje, continua sendo um clássico pós-moderno. Assim, muitas pessoas o jogam diariamente.
No entanto, pesquisadores da Cyble descobriram que os agentes de ameaças estão distribuindo uma amostra modificada do instalador do Super Mario 3: Mario Forever, distribuído como um arquivo executável de extração automática por meio de canais desconhecidos.
De acordo com o Bleeping Computer, o jogo trojanizado provavelmente é promovido em fóruns de jogos, grupos de mídia social ou enviado aos usuários por meio de malvertising, Black SEO, etc. O arquivo contém três executáveis, um que instala o legítimo jogo Mario (“super-mario-forever-v702e.exe”) e dois outros, “java.exe” e “atom.exe”, que são discretamente instalados no AppData da vítima diretório durante a instalação do jogo.
Assim que os executáveis maliciosos estiverem no disco, o instalador os executa para executar um minerador XMR (Monero) e um cliente de mineração SupremeBot. O arquivo “java.exe” é um minerador Monero que coleta informações sobre o hardware da vítima e se conecta a um servidor de mineração em “gulf[.]moneroocean[.]stream” para iniciar a mineração.
SupremeBot (“atom.exe”) cria uma duplicata de si mesmo e coloca a cópia em uma pasta oculta no diretório de instalação do jogo. Em seguida, ele cria uma tarefa agendada para executar a cópia que é executada a cada 15 minutos indefinidamente, ocultando-se sob o nome de um processo legítimo.
O processo inicial é encerrado e o arquivo original é excluído para evitar a detecção. Em seguida, o malware estabelece uma conexão C2 para transmitir informações, registrar o cliente e receber a configuração de mineração para iniciar a mineração do Monero.
Por fim, o SupremeBot recupera uma carga útil adicional do C2, chegando como um executável denominado “wime.exe”. Esse arquivo final é Umbral Stealer, um ladrão de informações C# de código aberto disponível no GitHub desde abril de 2023, que rouba dados do dispositivo Windows infectado.
Os dados roubados
Esses dados roubados incluem informações armazenadas em navegadores da web, como senhas e cookies armazenados contendo tokens de sessão, carteiras de criptomoedas e credenciais e tokens de autenticação para Discord, Minecraft, Roblox e Telegram.
O Umbral Stealer também pode criar capturas de tela da área de trabalho do Windows da vítima ou usar webcams conectadas para capturar mídia. Todos os dados roubados são armazenados localmente antes de serem exfiltrados para o servidor C2. O ladrão de informações é capaz de burlar o Windows Defender desabilitando o programa se a proteção contra adulteração não estiver habilitada. Caso contrário, adiciona seu processo à lista de exclusão do Defensor.
Além disso, o malware modifica o arquivo de hosts do Windows para prejudicar a comunicação de produtos antivírus populares com os sites da empresa, impedindo sua operação regular e eficácia.
Recomendações
Se você baixou recentemente Super Mario 3: Mario Forever, você deve verificar se há malware instalado em seu computador e remover qualquer um que seja detectado. Se for detectado malware, você deve redefinir suas senhas em sites confidenciais, como bancos, finanças, criptomoedas e sites de e-mail. Ao redefinir senhas, use uma senha exclusiva em cada site e utilize um gerenciador de senhas para armazená-las.
Também é importante lembrar que, ao baixar jogos ou qualquer software, certifique-se de fazê-lo de fontes oficiais, como o site do editor ou plataformas confiáveis de distribuição de conteúdo digital. Sempre verifique os executáveis baixados usando seu software antivírus antes de iniciá-los e mantenha suas ferramentas de segurança atualizadas.