Cyble研究和情报实验室的网络安全研究人员披露了威胁行为者如何通过提供加载恶意软件的流行游戏安装程序来利用游戏玩家。由于《超级马里奥3》等游戏在世界各地的儿童中广为人知并深受喜爱，因此该恶意软件有可能针对大规模受害者。

最近，Cyble研究人员发现了《超级马里奥3：永远的马里奥》安装程序的木马版本。隐藏在安装程序中的恶意软件可以执行各种恶意任务，例如窃取敏感数据、部署加密货币矿工和启动勒索软件。

研究人员指出，游戏安装程序已成为一种实现金钱收益最大化的有利可图的方式。威胁行为者更喜欢利用游戏安装程序来传播恶意软件，因为它们拥有广泛的用户群、强大的硬件和大文件大小，这使他们能够轻松隐藏恶意软件。游戏玩家信任这些安装程序，认为它们是合法软件，但社会工程可以让攻击者利用这种信任并诱骗游戏玩家下载恶意软件。

在这种情况下，研究人员写道，假安装程序附带三个可执行文件。其中一个文件用于安装游戏，而另外两个文件（标题为java.exe 和atom.exe）则安装在设备上的AppData目录中。两个文件都被分配了不同的任务。

1. Java.exe - 它可能看起来像一个常规的Java运行时，但实际上，它是一个Monero加密货币挖矿程序，负责建立与挖矿服务器(gulfmonerooceanstream)的连接。
2. Atom.exe - 它是一个自我复制的SupremeBot挖掘客户端，它创建一个计划任务，每十五分钟执行一次副本。在与C2服务器建立连接后，SupremeBot必须获取另一个可执行文件“wime.exe”。

恶意安装程序文件“super-mario-forever-v702e”安装到系统上后，会通过两个文件启动XMR挖矿程序和SupremeBot挖矿程序。完成此操作后，将建立与C2服务器的连接，以传输数据信息、注册客户端并获取开始加密货币挖掘所需的配置。接下来是获取“wime.exe”可执行文件，这是一个开源的Umbral Stealer。

Umbral Stealer能够从目标设备窃取敏感用户数据，其中包括存储的cookie和密码、会话令牌、加密货币钱包的凭据以及其他平台或游戏的身份验证令牌。此外，如果篡改保护处于非活动状态，它还会禁用Windows Defender来逃避检测。但是，如果篡改保护处于活动状态，则会将该进程添加到排除列表中。

恶意的《超级马里奥3》安装程序非常致命，因为它能够进行加密货币挖掘和数据窃取。这可能会给受害者带来严重的经济损失，并耗尽计算机资源，导致系统性能下降。

Cyble的报告中写道：“通过游戏安装程序分发的恶意软件可以通过窃取敏感信息、进行勒索软件攻击等活动来获利。 ”