CompuNetGroup - Blog CompunetGroup #MaCompuNetGroup - Blog CompunetGroup #Mahttps://www.compunetgroup.net/blogs/tag/MaThu, 02 Apr 2026 02:39:38 -0700http://zoho.com/sites/<![CDATA[Mario se Vuelve Malicioso: un Juego Infectado con Malware en Windows]]>https://www.compunetgroup.net/blogs/post/mario-se-vuelve-malicioso-un-juego-infectado-con-malware-en-windows

Mario se Vuelve Malicioso: un Juego Infectado con Malware en Windows

mario virus malware

Un instalador infectado con un troyano del popular juego Super Mario 3: Mario Forever para Windows ha estado infectando a jugadores desprevenidos con múltiples infecciones de malware.

Super Mario 3: Mario Forever es una adaptación gratuita del clásico juego de Nintendo desarrollado por Buziol Games y lanzado para la plataforma de Windows en 2003.

El juego se volvió muy popular, descargado por millones de personas que lo elogiaron por incluir todas las mecánicas de la serie clásica de Mario, pero con gráficos actualizados y un estilo y sonido modernizados.

El desarrollo del juego continuó durante otra década, lanzando múltiples versiones posteriores que traían correcciones de errores y mejoras. Hoy en día, sigue siendo un clásico posmoderno.


Super Mario 3: Mario Forever 


Es probable que el juego troyanizado sea promocionado en foros de juegos, grupos de redes sociales o enviado a usuarios a través de malvertising, Black SEO, etc.

El archivo contiene tres ejecutables, uno que instala el juego legítimo de Mario ("super-mario-forever-v702e.exe") y otros dos, "java.exe" y "atom.exe", que se instalan discretamente en el directorio de AppData de la víctima durante la instalación del juego



Archivos encontrados en la Maquina Víctima

Una vez que los ejecutables maliciosos están en el disco, el instalador los ejecuta para ejecutar un minero XMR (Monero) y un cliente de minería SupremeBot.



Icono Juego


El archivo «java.exe» es un minero de Monero que recopila información sobre el hardware de la víctima y se conecta a un servidor de minería en «gulf MoneroOcean stream» para comenzar a minar.

SupremeBot («atom.exe») crea un duplicado de sí mismo y coloca la copia en una carpeta oculta en el directorio de instalación del juego.

A continuación, crea una tarea programada para ejecutar la copia que se ejecuta cada 15 minutos indefinidamente, escondiéndose bajo el nombre de un proceso legítimo.

Una vez completado el proceso inicial, se elimina el archivo original para evitar su detección. Posteriormente, el malware establece una conexión C2 para transmitir información, registrar al cliente y recibir la configuración necesaria para comenzar a minar la criptomoneda Monero.

Finalmente, SupremeBot obtiene una carga adicional del C2, que llega en forma de un archivo ejecutable llamado "wime.exe".




Cadena de infección 


Entre los datos robados se encuentran información almacenada en navegadores web, como contraseñas guardadas y cookies que contienen tokens de sesión, así como billeteras de criptomonedas y credenciales y tokens de autenticación para plataformas como Discord, Minecraft, Roblox y Telegram.

Además, el malware puede capturar imágenes de la pantalla del escritorio de Windows de la víctima o utilizar cámaras web conectadas para obtener medios visuales. Todos los datos robados se almacenan localmente antes de ser enviados al servidor C2.

El malware es capaz de evadir la detección de Windows Defender desactivando el programa, a menos que la protección contra manipulaciones esté habilitada. En caso contrario, el malware añade su proceso a la lista de exclusiones de Windows Defender.

Además, el malware modifica el archivo de hosts de Windows con el fin de bloquear la comunicación entre los productos antivirus populares y los sitios web de las empresas, obstaculizando así su funcionamiento normal y su efectividad.

Si has descargado recientemente Super Mario 3: Mario Forever, debes escanear tu computadora en busca de malware instalado y eliminar cualquier detección que se encuentre.

Si se detecta malware, debes restablecer tus contraseñas en sitios sensibles como bancos, sitios financieros, criptomonedas y correos electrónicos. Al restablecer las contraseñas, utiliza una contraseña única en cada sitio y utiliza un gestor de contraseñas para almacenarlas

También es importante recordar que, al descargar juegos u otro software, asegúrate de hacerlo desde fuentes oficiales como el sitio web del editor o plataformas de distribución de contenido digital confiables.

Siempre escanea los ejecutables descargados utilizando tu software antivirus antes de ejecutarlos y mantén tus herramientas de seguridad actualizadas.


Indicadores de Compromiso

Referencia: https://blog.cyble.com/2023/06/23/trojanized-super-mario-game-installer-spreads-supremebot-malware/


Indicadores

Tipo

Descripcion

90647ec1bc00c6d35ba3fd7ee214cd20
0eb317fb165e87c23770ab6dff45e92dbd209b66
e9cc8222d121a68b6802ff24a84754e117c55ae09d61d54b2bc96ef6fb267a54

MD5 SHA1 SHA256

Super Mario Bros
Installer (NSIS file)

54d4bcd4e789a196022632e1f0922dd7
41ff5729fdeafec9879f12faffa3a62391e0a6f5
41d1024209b738785ace023c36b2165d95eab99b0d892327212b8a5f7c311610

MD5 SHA1 SHA256

Atom.exe (SupremeBot)  

abbf1ee343b1cdc834be281caef875c8 b72ffd7f63d4ad1de95783b7cf1ecb89cdb0056b 1f479a220e41be1c22092d76400565d0f7d8e890d1069a2f8bbdc5f697d9808f

MD5 SHA1 SHA256

Java.exe (XMR miner)  

1335a17d311b929988693fb526dc4717
062830cb07ce430fe049627e001ef23fba8ba351 88556497794511dde0ca0a1bfee08922288a620c95a8bc6f67d50dbb81684b22

MD5 SHA1 SHA256

wime.exe
(Umbral Stealer)

hxxp://shadowlegionduckdnsorg/nam/api/endpointphp

URL

Connect from
XMR miner

hxxp://silentlegionduckdnsorg/gate/updatephp hxxp://silentlegionduckdnsorg/gate/connectionphp hxxp://silentlegionduckdnsorg/gate/configphp

URL

Connect from
SupremeBot  

hxxp//shadowlegionduckdnsorg/wimeexe

URL

Umbral stealer downloaded by SupremeBot


Escrito por Alberto Sánchez

Líder en Ciberseguridad y Awareness en Compunet Group

]]>Tue, 11 Jul 2023 15:28:54 -0400