« Mario Forever » contient un crypto-malware : à la recherche d’une version propre
28/6/2023
Le jeu Super Mario « Mario Forever » contient apparemment un logiciel malveillant. Votre ordinateur Windows devient ainsi une station de crypto-minage. Vos données sont également volées. Je veux quand même jouer. Mais comment ? Je pars à la recherche d’une version non contaminée.
Les experts en sécurité de la société Cyble (en anglais) ont découvert un logiciel malveillant dans Super Mario 3 : Mario Forever. Plus précisément, dans une variante manipulée de la version 702e. Celle-ci date d’environ trois ans et est également la version la plus récente du jeu.
Source : Florian Bodoky
Mario Forever a été développé à l’origine par Buziol Games en 2003. Il ne provient donc pas de Nintendo. Il s’agit plutôt d’un hommage à Super Mario Bros. 3 sur NES. Divers éléments de jeu ont ainsi été repris pour donner aux joueurs un « feeling NES ». Le titre gratuit a été téléchargé et joué des millions de fois. C’est ce que je veux aussi. Mais sans logiciels malveillants. Comment faire ?
D’où vient la version contaminée ?
Cyble suppose qu’elle a été diffusée sur des forums de jeux, des groupes de médias sociaux ou, plus généralement, par le biais du malvertising. L’installateur s’appelle « super-mario-forever7092e.exe ». Le fichier contient également le logiciel malveillant. Celui-ci ne s’appelle évidemment pas « BoeseMalware.exe », mais porte un nom insoupçonné qui correspond au jeu.
En principe, vous devez être prudent·e lors du téléchargement. Une version manipulée de 702e a désormais été découverte. Cela ne signifie pas qu’il n’existe pas d’autres versions du jeu qui apportent des logiciels malveillants. Elle est proposée au téléchargement sur des dizaines de forums et par des fournisseurs tiers. Même si vous cherchez le jeu normalement sur Google, il se peut que le logiciel soit compromis
Que fait le logiciel malveillant
Cyble a détecté un logiciel malveillant dans le package d’installation du jeu. D’une part, le programme « SupremeBot ». Il s’agit d’un client de minage qui extrait la cryptomonnaie « Monero » sur des ordinateurs infectés. L’outil se connecte alors au serveur de minage et transfère les bitcoins dans sa direction. Le processus de minage nécessite beaucoup de ressources. Si votre système est fortement sollicité sans raison, cela pourrait être un indicateur.
Source : Florian Bodoky
L’outil se comporte de manière intelligente. Il se duplique d’abord. Ensuite, la copie se cache dans le dossier Windows App Data, où vous ne pourrez pas la découvrir facilement. L’original se supprime lui-même. Ensuite, « SupremeBot » s’exécute toutes les 15 minutes. Chaque fois sous un nom de processus différent, qui ne semble pas suspect. Le logiciel malveillant réussit ainsi à passer inaperçu et vos programmes de protection ne le détectent pas. Enfin, un maliciel appelé « Umbral » suit le mouvement. Ce soi-disant « stealer » peut échapper à Windows Defender En effet, le processus est tout simplement introduit frauduleusement par le « SupremeBot" » sur la liste des exceptions du Defender. Actuellement, on ne connait pas les scanners de virus qui détectent le fichier et ceux qui ne le font pas.
Ce programme vole des données de votre PC. De plus, il fournit des informations sur vos portefeuilles pour cryptomonnaies à « SupremeBot ». Selon « Cyble », le maliciel peut effectuer des captures d’écran, enregistrer des images de webcam et lire les mots de passe et les cookies du navigateur. Les tokens Discord et les données d’accès Telegram ne sont pas non plus à l’abri de ses attaques.
En outre, le logiciel malveillant peut modifier le fichier hôte. Il peut ainsi empêcher l’accès à certains sites Internet antivirus. Il redirige simplement le nom de domaine vers l’IP 0.0.0.0.
Suis-je concerné ?
On ne sait pas depuis combien de temps les versions enrichies de logiciels malveillants du jeu existent, ni combien de versions différentes circulent ou sur quels canaux elles sont proposées. Le jeu est ancien et gratuit, il y a donc beaucoup de fournisseurs tiers.
Pour savoir si une version que vous avez installée est contaminée par un logiciel malveillant, vous pouvez procéder comme suit :
- Vérifier si l’installateur a produit d’autres fichiers .EXE ou des raccourcis après l’exécution. Supprimez-les dans tous les cas.
- Avez-vous exécuté tous ces fichiers EXE ? Vérifiez ensuite l’utilisation de votre CPU. Celle-ci est-elle anormalement élevée ? Il se peut alors que votre appareil soit en train de miner. Dans ce cas, vous pouvez rechercher des processus suspects.
- Regardez dans le dossier Appdata (C:\Users\NNom de l’utilisateur\NAppdata). Triez les fichiers par date et regardez si un fichier a été introduit exactement au moment où vous avez installé le jeu. Trouvez-vous l’un des trois fichiers suivants : Java.exe, Atom.exe ou wime.exe ? Mauvais signe. Supprimez-les.
Et n’oubliez pas d’actualiser Windows et votre antivirus.
Infecté ! Et maintenant ?
Si « Umbral » est détecté par votre antivirus, vous devez le supprimer (votre antivirus vous proposera cette option). Comme il peut grappiller des données dans le navigateur, vous devez changer les mots de passe de vos services. Du moins, si vous les avez enregistrés dans votre navigateur. Vous devez également modifier les données d’accès à Discord ou Telegram. Il en va de même si votre pare-feu se manifeste. Les tentatives de connexion à des serveurs C2 appelés « shadowlegion » ou « silent legion » sont un signal d’alarme. C2 signifie « Command-and-Control-Infrastructure ». Il s’agit d’un ensemble d’outils permettant à un appareil infecté de communiquer avec la plateforme à partir de laquelle l’attaque a été lancée. Même si le logiciel malveillant présent sur votre ordinateur a besoin d’autres logiciels, il les télécharge de cette manière.
Où pouvez-vous obtenir le jeu en toute sécurité et sans mauvaise surprise ?
Comme nous l’avons déjà mentionné, la dernière version du jeu date déjà de trois ans et n’a pas été développée depuis. Et c’est justement cette version qui a été trouvée sur le web dans une variante manipulée. Bien sûr, les forums shady et les groupes de médias sociaux ne sont pas les sources les plus fiables. Je voudrais ici vous indiquer une source sûre. Pour en trouver une, je mets en place une machine virtuelle, j’installe Windows 11 et je récupère Super Mario 3 : Mario Forever. Je le télécharge sur le site Internet du distributeur Softendo.
Source : Florian Bodoky
Je lance l’installation et Windows me demande si je veux vraiment installer une application d’un éditeur inconnu. En effet, ni Softendo ni Buziol Games n’apparaissent. Cela arrive de temps en temps avec des logiciels plus anciens. Néanmoins, cela n’inspire pas confiance.
L’installation se termine et génère un raccourci sur le bureau. On ne demande pas. J’effectue un double-clic, une fenêtre s’ouvre. Il y a certes un bouton « Play Game », mais aussi un autre qui me conseille d’autres téléchargements. Je veux jouer. Je choisis un style de jeu (OLD TV NES). Le jeu ne démarre pas. Un autre écran de démarrage apparaît. Il y a un bouton « Start Game », mais encore une fois une offre d’un autre fangame Mario. Je démarre. Le niveau commence.
Source : Florian Bodoky
Le jeu est lent et avec des bugs. Cela me rappelle mes premiers essais de Java durant l’apprentissage.Mes commandes ne sont pas exécutées ou le sont en différé. C’est peut-être mon manque de talent. Même après trois tentatives, je ne réussis pas le niveau.
Source : Florian Bodoky
Le ventilateur de mon ordinateur portable 2021 fait un bruit d’hélicoptère. Un coup d’œil dans le gestionnaire de tâches montre que le programme Softendo est très gourmand en termes de CPU. Je ferme la tâche et le jeu. Je découvre alors un deuxième raccourci sur mon bureau. Il n’était pas là après la fin de la configuration. Trop drôle !
Source : Florian Bodoky
Je télécharge le fichier EXE du jeu sur Virustotal.com. Virustotal est un service gratuit sur le net qui analyse les programmes à la demande avec des dizaines de scanners de virus différents. Tadaaa, un dropper s’est glissé. Les droppers « aident » à diffuser et à installer des logiciels malveillants. Les droppers « non persistants » peuvent même se supprimer eux-mêmes après l’installation du maliciel. Les droppers persistants se copient et se cachent. Les programmes antivirus peuvent également être bloqués et les signatures contournées. En bref : un dropper n’est pas quelque chose que vous voulez avoir sur votre système.
Source : Florian Bodoky
Je supprime la machine virtuelle complète.
Bilan
Pour l’instant, ma conclusion est malheureusement la suivante : laissez tomber Mario Forever. Si même le site Internet officiel du distributeur est accompagné d’un dropper, l’opération devient une loterie. Les chances de gagner sont mauvaises. Si vous possédez une Nintendo Switch avec un abonnement en ligne Nintendo Switch, des dizaines de classiques sont de toute façon disponibles gratuitement. Ils sont plus amusants et présentent moins de bugs.
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.
