Super Mario 3: Mario Forever è un remake gratuito del celebre gioco di Nintendo, uscito nel 2003 e sviluppato da Buziol Games (Softendo). Il gioco ha riscosso un grande successo tra i fan della saga, raggiungendo milioni di download in tutto il mondo. Tuttavia, recentemente è stata scoperta una versione infetta del gioco, che nasconde al suo interno tre malware pericolosi, in grado di sfruttare le risorse del computer per minare criptovalute e rubare dati personali.
La scoperta è stata fatta dai ricercatori di sicurezza informatica di Cyble, che hanno analizzato l’installer del gioco distribuito tramite canali non ufficiali. L’installer, presentato come un archivio auto-estraente, contiene tre file eseguibili: il primo è quello legittimo del gioco (super-mario-forever-v702e.exe), mentre gli altri due sono java.exe e atom.exe. Questi file vengono copiati nella directory AppData e vengono eseguiti in background mentre l’utente avvia il gioco.
Il file java.exe è in realtà un miner di Monero, una criptovaluta che si basa sull’anonimato delle transazioni. Il miner raccoglie informazioni sul computer (nome, CPU, GPU) e le invia a un server di comando e controllo (C&C), che stabilisce la connessione con il server di mining e avvia le attività sfruttando le risorse hardware.
Il file atom.exe è invece il client di SupremeBot, un altro malware che copia se stesso nella directory ProgramData, cancella l’eseguibile dalla directory AppData, aggiunge un’attività pianificata per l’esecuzione automatica ogni 15 minuti e scarica il file wime.exe. Quest’ultimo è Umbra Stealer, un info-stealer open source disponibile su GitHub. Umbra Stealer è in grado di rubare password e cookie dai principali browser, catturare screenshot e immagini dalla webcam, ottenere file di sessione da Telegram e token di Discord, accedere ai wallet di criptovalute.
I dati vengono copiati nella directory Temp e poi inviati al server remoto. Umbra Stealer riesce anche a eludere Windows Defender disabilitandolo se la protezione anti manomissione non è attiva o aggiungendo il suo processo all’elenco di esclusione se lo è. Si tratta quindi di una minaccia molto seria, che potrebbe aver colpito milioni di utenti ignari. I ricercatori di Cyble raccomandano di scaricare il gioco solo dai siti ufficiali o da fonti affidabili, e di controllare sempre i file eseguibili prima di installarli. Inoltre, consigliano di usare un antivirus aggiornato e una VPN per proteggere la propria privacy online.