Expertos en ciberseguridad han descubierto una versión modificada del instalador del juego Super Mario 3: Mario Forever, que se ha utilizado para distribuir malware a jugadores desprevenidos.
Esta versión infectada se ha difundido a través de canales desconocidos, como foros de juegos y grupos de redes sociales, y se ha distribuido como un archivo ejecutable autoextraíble.
Los ejecutables maliciosos de Super Mario 3: Mario Forever
Tal y como han informado desde Bleeping Computer, una vez que el archivo infectado se ejecuta en el sistema de la víctima, se instalan tres ejecutables. Uno de ellos es el juego legítimo de Super Mario, mientras que los otros dos, «java.exe» y «atom.exe», se instalan de forma discreta en el directorio AppData del usuario.
Estos ejecutables maliciosos están diseñados para ejecutar un minero de la criptomoneda Monero (XMR) y un cliente de minería llamado SupremeBot.
El robo de información y el malware adicional
El ejecutable «java.exe» funciona como un minero de Monero, utilizando los recursos del hardware de la víctima para extraer la criptomoneda y enviarla a un servidor de minería.
Por otro lado, SupremeBot («atom.exe«) crea una copia de sí mismo en una carpeta oculta y configura una tarea programada para ejecutarse cada 15 minutos, ocultando su actividad bajo el nombre de un proceso legítimo.
Además, SupremeBot establece una conexión C2 (Command and Control) para transmitir información y recibir comandos adicionales del servidor. Durante esta etapa, se descarga una carga útil adicional llamada «wime.exe«, que contiene Umbral Stealer, un ladrón de información C# de código abierto.
El ladrón de información Umbral Stealer tiene como objetivo robar datos del dispositivo infectado, incluyendo contraseñas almacenadas en navegadores web, cookies con tokens de sesión, billeteras de criptomonedas y credenciales de aplicaciones populares como Discord, Minecraft, Roblox y Telegram.
También puede capturar capturas de pantalla y usar la cámara web del dispositivo para recopilar medios adicionales. Los datos robados se almacenan localmente antes de ser enviados al servidor C2.
Consecuencias y medidas de seguridad
Es importante que aquellos que hayan descargado Super Mario 3: Mario Forever recientemente escaneen sus computadoras en busca de malware y eliminen cualquier amenaza detectada.
Además, se recomienda restablecer las contraseñas en sitios confidenciales y utilizar contraseñas únicas en cada plataforma, así como mantener un administrador de contraseñas seguro.
Es fundamental descargar juegos y software únicamente de fuentes oficiales y confiables, como los sitios web de los editores o plataformas reconocidas de distribución de contenido digital.
Antes de ejecutar cualquier archivo descargado, se debe realizar un escaneo con un software antivirus actualizado y mantener las herramientas de seguridad actualizadas para protegerse contra futuras amenazas.
