«Mario Forever» contiene cripto-malware: la mia ricerca di una versione pulita
Il gioco di Super Mario «Mario Forever» sembra contenere malware. Questo trasforma il tuo computer Windows in una stazione di cripto-mining. Anche i tuoi dati vengono rubati. Io voglio comunque giocarci, ma come? Mi metto alla ricerca.
Gli esperti di sicurezza di Cyble hanno scoperto un malware in «Super Mario 3: Mario Forever». Più precisamente, in una variante manipolata della versione 702e. Si tratta di una versione vecchia di circa tre anni e allo stesso tempo la più recente del gioco.
Fonte: Florian Bodoky
«Mario Forever» è stato originariamente sviluppato da Buziol Games nel 2003. Quindi non è di Nintendo. Si tratta piuttosto di un omaggio a Super Mario Bros. 3 su NES. Sono stati ripresi anche diversi elementi di gioco per dare ai gamer un «NES feeling». Il titolo gratuito è stato scaricato e giocato milioni di volte. Lo voglio anch'io. Ma senza malware. Come si fa?
Da dove viene la versione contaminata?
Cyble ipotizza che sia stato distribuito in forum di gioco, gruppi di social media o in generale tramite malvertising. Il programma di installazione si chiama «super-mario-forever7092e.exe». Il file contiene anche il malware. Naturalmente non si chiama «Malwaremaligno.exe», ma ha un nome insospettabile che si adatta al gioco.
In sostanza, è necessario prestare attenzione al momento del download. È stata scoperta una versione manipolata di 702e. Questo non significa che non esistano altre versioni del gioco che contengono malware. Viene offerto per il download in decine di forum e da fornitori terzi. Anche se si cerca il gioco normalmente con Google, è possibile che il software sia compromesso.
Cosa fa il malware
Cyble ha rilevato un software dannoso nel pacchetto di installazione del gioco. Uno è il programma «SupremeBot», un client di mining che estrae la criptovaluta «Monero» sui computer infetti. Lo strumento si connette al server di mining e vi trasferisce la valuta. Il processo di estrazione richiede molte risorse. Quindi, se il sistema è sotto carico senza motivo, questo potrebbe essere un indicatore.
Fonte: Florian Bodoky
Lo strumento si comporta in modo intelligente. Prima si duplica. Successivamente, la copia si nasconde nella cartella Windows App Data, dove non è possibile individuarla facilmente. L'originale si cancella da solo. Successivamente, «SupremeBot» viene eseguito ogni 15 minuti. Ogni volta con un nome di processo diverso e insospettabile. In questo modo, il malware non solo vuole nascondersi da te, ma anche dai tuoi programmi di protezione. Ultimo ma non meno importante, un malware chiamato «Umbra» segue lo stesso esempio. Questo cosiddetto stealer può sfuggire a Windows Defender poiché il processo viene semplicemente inserito di nascosto nell'elenco delle eccezioni del Defender dal «SupremeBot». Attualmente non è chiaro quali scanner antivirus rilevino il file e quali no.
Questo programma ruba i dati dal tuo PC. Inoltre, fornisce informazioni sui tuoi criptovalori a «SupremeBot». Secondo «Cyble», il malware può scattare screenshot, scattare immagini dalla webcam e leggere password e cookie dal browser. Anche i token di Discord e i dati di accesso a Telegram non sono al sicuro dal suo accesso.
Inoltre, il malware può modificare il file host. In questo modo, può impedire l'accesso a determinati siti web antivirus. Reindirizza semplicemente il nome del dominio all'IP 0.0.0.0.
Ne sono colpito?
Non è chiaro da quanto tempo siano in circolazione le versioni arricchite di malware del gioco. Così come ci sono molte versioni diverse in giro. O su quali canali vengono offerti. Il gioco è vecchio e gratuito, quindi ci sono molte terze parti.
Per scoprire se una versione installata è contaminata da malware, puoi procedere come segue:
- Controlla se il programma di installazione ha prodotto altri file .EXE o collegamenti dopo l'esecuzione. Eliminali in ogni caso.
- Hai eseguito tutti questi file EXE? Verifica il carico della CPU. Si tratta di un valore insolitamente alto? Allora potrebbe essere che il dispositivo sia in fase di mining. In questo caso, è possibile cercare i processi sospetti.
- Cerca nella cartella Appdata (C:\Users\Username\Appdata). Ordina i file in base alla data e vedi se un file è arrivato esattamente nel momento in cui hai installato il gioco. Riesci a trovare uno dei tre file seguenti: Java.exe, Atom.exe o wime.exe? Un brutto segno. Eliminali.
E ricorda: mantieni Windows e il tuo scanner antivirus aggiornati.
Infetto! Cosa posso fare?
Se «Umbral» viene rilevato dal tuo scanner antivirus, dovresti eliminarlo (il tuo scanner ti offre questa opzione). Poiché è in grado di carpire i dati dal browser, è necessario modificare le password dei propri servizi. Almeno, se li hai salvati nel tuo browser. Dovreste anche cambiare i tuoi dati di accesso in Discord o Telegram. Lo stesso vale se segnalato dal firewall. I tentativi di connessione ai server C2 chiamati «shadowlegion» o «silent legion» sono un segnale di allarme. C2 sta per «Command-and-Control-Infrastructure». Si tratta di un insieme di strumenti che un dispositivo infetto utilizza per comunicare con la piattaforma da cui è stato lanciato l'attacco. Anche se il malware sul computer ha bisogno di altro software, in questo modo lo scarica.
Dove si può ottenere il gioco con certezza senza brutte sorprese?
Come già detto, l'ultima versione del gioco ha già tre anni e da allora non è stata ulteriormente sviluppata. Ed è proprio questa versione che è stata trovata in una variante manipolata in rete. Certo, i forum loschi e i gruppi di social media non sono la fonte più affidabile. A questo punto vorrei fornirti una fonte affidabile. Per trovarne una, creo una macchina virtuale, installo Windows 11 e prendo «Super Mario 3: Mario Forever». Lo scarico dal sito web del distributore Softendo.
Fonte: Florian Bodoky
Avvio la configurazione e Windows mi chiede se voglio davvero installare un'applicazione di un editore sconosciuto. Infatti, non compaiono né Softendo né Buziol Games. Si verifica di tanto in tanto con i software più vecchi. Tuttavia, non ispira esattamente fiducia.
La configurazione termina e genera un collegamento sul desktop. Non viene chiesto nulla. Faccio doppio clic e si apre una finestra. C'è un pulsante «Play Game», ma anche uno che mi dice di scaricare altre cose. Io voglio giocare. Scelgo uno stile di gioco (OLD TV NES). Il gioco non si avvia. Viene visualizzata un'altra schermata iniziale. C'è un pulsante «Start Game», ma ancora una volta viene offerto un altro gioco per i fan di Mario. Lancio. Il livello inizia.
Fonte: Florian Bodoky
Il gioco è lento e buggato. Mi ricorda i miei primi tentativi con Java durante l'apprendistato: i miei comandi non vengono eseguiti o solo con un ritardo. Forse è dovuto alla mia mancanza di talento. Anche dopo tre tentativi non riesco a gestire il livello.
Fonte: Florian Bodoky
La ventola del mio portatile del 2021 sembra un elicottero. Un'occhiata al task manager mostra che il programma Softendo sta davvero distruggendo la CPU. Chiudo l'attività e il gioco. Poi scopro un secondo collegamento sul desktop. Non era presente al termine della configurazione. Divertente.
Fonte: Florian Bodoky
Ho caricato il file EXE del gioco su Virustotal.com. Virustotal è un servizio gratuito in rete che analizza i programmi su richiesta con decine di scanner antivirus diversi. Tadaa, si è insinuato un dropper. I dropper «aiutano» a diffondere e installare il malware. I cosiddetti dropper «non persistenti» possono addirittura rimuoversi da soli dopo l'installazione del malware. I dropper persistenti si copiano e si nascondono. Anche i programmi antivirus possono essere bloccati e le firme aggirate. In breve, un dropper non è qualcosa che vuoi nel tuo sistema.
Fonte: Florian Bodoky
Elimino l'intera macchina virtuale.
Conclusione
Purtroppo, la mia conclusione attuale è: giù le mani da «Mario Forever». Se anche sul sito ufficiale del distributore arriva un dropper, l'operazione diventa una lotteria. Possibilità di vittoria: scarse. Se hai una Nintendo Switch con un abbonamento a Nintendo Switch Online, decine di classici sono comunque disponibili gratuitamente, più divertenti e per nulla buggati.
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.
