Un programme d’installation contenant un cheval de Troie pour le jeu populaire Super Mario 3: Mario Forever pour Windows a infecté des joueurs sans méfiance avec plusieurs infections de logiciels malveillants.
Super Mario 3 : Mario Forever est un remake gratuit du jeu Nintendo classique développé par Buziol Games et sorti pour la plate-forme Windows en 2003.
Le jeu est devenu très populaire, téléchargé par des millions de personnes, qui l’ont félicité pour avoir présenté tous les mécanismes de la série classique de Mario, mais avec des graphismes mis à jour et un style et un son modernisés.
Le développement du jeu s’est poursuivi pendant une autre décennie, publiant plusieurs versions ultérieures qui ont apporté des corrections de bogues et des améliorations. Aujourd’hui, il reste un classique post-moderne.
Cibler les joueurs
Les chercheurs de Cyble ont découvert que les acteurs de la menace distribuaient un échantillon modifié du programme d’installation de Super Mario 3 : Mario Forever, distribué sous la forme d’une archive auto-extractible exécutable via des canaux inconnus.
Le jeu trojanisé est probablement promu sur les forums de jeu, les groupes de médias sociaux ou poussé aux utilisateurs via la malvertisation, le référencement noir, etc.
L’archive contient trois exécutables, un qui installe le jeu Mario légitime (« super-mario-forever-v702e.exe ») et deux autres, « java.exe » et « atom.exe », qui sont discrètement installés sur l’AppData de la victime. répertoire lors de l’installation du jeu.
Une fois que les exécutables malveillants sont sur le disque, le programme d’installation les exécute pour exécuter un mineur XMR (Monero) et un client de minage SupremeBot.
Le fichier « java.exe » est un mineur Monero qui collecte des informations sur le matériel de la victime et se connecte à un serveur de minage sur « gulf[.]moneroocean[.]stream » pour démarrer le minage.
SupremeBot (« atom.exe ») crée une copie de lui-même et place la copie dans un dossier caché dans le répertoire d’installation du jeu.
Ensuite, il crée une tâche planifiée pour exécuter la copie qui s’exécute toutes les 15 minutes indéfiniment, se cachant sous le nom d’un processus légitime.
Le processus initial est terminé et le fichier d’origine est supprimé pour échapper à la détection. Ensuite, le logiciel malveillant établit une connexion C2 pour transmettre des informations, enregistrer le client et recevoir la configuration de minage pour commencer à miner Monero.
Enfin, SupremeBot récupère une charge utile supplémentaire du C2, arrivant sous la forme d’un exécutable nommé « wime.exe ».
Ce fichier final est Umbral Stealer, un voleur d’informations C# open source disponible sur GitHub depuis avril 2023, qui vole les données de l’appareil Windows infecté.
Ces données volées comprennent des informations stockées dans les navigateurs Web, telles que les mots de passe stockés et les cookies contenant des jetons de session, des portefeuilles de crypto-monnaie et des informations d’identification et des jetons d’authentification pour Discord, Minecraft, Roblox et Telegram.
Umbral Stealer peut également créer des captures d’écran du bureau Windows de la victime ou utiliser des webcams connectées pour capturer des médias. Toutes les données volées sont stockées localement avant d’être exfiltrées vers le serveur C2.
Le voleur d’informations est capable d’échapper à Windows Defender en désactivant le programme si la protection antialtération n’est pas activée. Dans le cas contraire, il ajoute son processus à la liste d’exclusion du Defender.
De plus, le logiciel malveillant modifie le fichier d’hôtes Windows pour altérer la communication des produits antivirus populaires avec les sites de l’entreprise, empêchant leur fonctionnement régulier et leur efficacité.
Si vous avez récemment téléchargé Super Mario 3 : Mario Forever, vous devez analyser votre ordinateur à la recherche de logiciels malveillants installés et supprimer ceux qui sont détectés.
Si un logiciel malveillant est détecté, vous devez réinitialiser vos mots de passe sur les sites sensibles, tels que les sites bancaires, financiers, de crypto-monnaie et de messagerie. Lors de la réinitialisation des mots de passe, utilisez un mot de passe unique sur chaque site et utilisez un gestionnaire de mots de passe pour les stocker.
Il est également important de se rappeler que lors du téléchargement de jeux ou de tout logiciel, assurez-vous de le faire à partir de sources officielles telles que le site Web de l’éditeur ou des plateformes de distribution de contenu numérique fiables.
Analysez toujours les exécutables téléchargés à l’aide de votre logiciel antivirus avant de les lancer et maintenez vos outils de sécurité à jour.