I giochi ufficiali di Super Mario si trovano in un buonissimo stato (lo si vede anche nel primo trailer di Super Mario Wonder), ma lo stesso non si può dire peri giochi creati dai fan. Di questi uno in particolare sta facendo chiacchierare negli ultimi tempi: Super Mario Forever. Il gioco è una sorta di remake di Super Mario Bros 3, ma installarlo renderebbe il proprio computer vittima di malware.
I ricercatori di Cyble Research and Intelligence Labs (CRIL) hanno scoperto che il gioco è infettato da virus trojan, e sta venendo usato da degli hacker per diffondere diversi malware (tra cui il miner XMR, SupremeBot e Umbral Stealer). Secondo quanto riferito dai ricercatori, gli hacker vogliono colpire i gamer perché spesso dispongono di hardware potenti, che sono molto utili nel minare criptovalute.
Gli hacker hanno manomesso il file d’installazione di Super Mario Forever, “Super-Mario-Bros.exe”, che ora contiene tre eseguibili: quello del gioco (super-mario-forever-v702e.exe) e i file maligni java.exe e “atom.exe” (SupremeBot).
I malware contenuti in Super Mario Forever
Quando ai apre il file, super-mario-forever-v702e.exe viene inserito nella sezione %appdata% ed eseguito, facendo apparire a schermo la finestra d’installazione. Una volta terminata e aperta la scheda in cui è possibile giocare al gioco, sullo sfondo vengono eseguiti i malware SupremeBot e XMR. I programmi non vengono rilevati da Windows Defender, e potrebbero rivelarsi inefficaci anche i software anti-malware.
Mentre XMR estrae la criptovaluta Monero, SupremeBot crea infatti delle copie di sé stesso all’interno delle cartelle del gioco per non farsi individuare da nessun software antivirus. Questi due malware creano inoltre una connessione con un server di mining, gulf[.]moneroocean[.]stream.
Umbral Stealer ruba molte informazioni di valore dal dispositivo (tra cui anche le specifiche della GPU e della CPU), ma non solo: può prendere screenshot del pc, impossessarsi delle password e le credenziali di ogni sito visitato con il browser, catturare immagini con la webcam, ottenere file associati a Telegram, Discord, Roblox e Minecraft, e infine collezionare file associati con i wallet di criptovalute.
Secondo quanto riportato da Cyble, le informazioni rubate vengono trasferite nel server hxxp://shadowlegion[.]duckdns[.]org/nam/api/endpoint[.]php. Le attività di questi malware causano perdite economiche, un declino delle performance del proprio computer e la cancellazione di importanti risorse di sistema.
