En ny modulopbygget trojan downloader i JavaScript er dukket op på internettet. I øjeblikket, den kan opnås sammen med krypto minearbejder annonce belastningen til de bedrager for videospil.
Windows malware, kodenavnet Installer prøve, er kendt for at bruge node.js som kørselstidsmiljøet.web Læge specialister opdaget og analyseret en usædvanlig prøve.
Som det viste sig, angribere distribuere MonsterInstall fra deres websteder med snydekoder til populære spil (registreret i HLstatsX og .COM), og også inficere filer på andre ressourcer i samme profil.
“Ved at anmode om en bedrager, den besøgende får et password-beskyttet arkiv med en loader program. “Når brugere forsøger at hente en snyde, de henter en password-beskyttet 7zip arkiv til deres computere. Inden der er en eksekverbar fil; som ved opstart, vil hente de ønskede cheat sammen andre trojanske komponenter”, - forskere siger.
Test har vist, at denne eksekverbare fil belastninger ikke kun det ønskede indhold, men også trojanske komponenter: installatør, bagdør, opdatering modul, Cryptocurrency Miner.
“Bonus” malware er installeret i systemet som en Windows service og er ordineret til autorun ved hjælp af Windows Scheduler. efter lanceringen, MonsterInstall første vedrører google.com, yandex.ru eller www.i.ua for at få den aktuelle dato. Den indsamler derefter oplysninger om systemet og sender den til kommandoen serveren.
Reaktion indeholder links til ressourcer med arbejdsgrupper moduler, men den trojanske først sammenligner værdien af dataTime parameter med den aktuelle dato. Hvis forskellen er mere end en uge, han vil ikke udføre kommandoer. Ellers, det indlæser de nødvendige komponenter og lancerer dem til udførelse.
Modulet er ansvarlig for implementering af minearbejder afslutter XMR, xmr64 og vinduer-opdatering processer (hvis de kører), og også endnu engang indsamler oplysninger om systemet og sender den til sin server. Som svar, han modtager konfigurationsdata, gemmer det som et JSON fil, og begynder minedrift cryptocurrency – TurtleCoin.
“Udviklere af denne malware egne flere hjemmesider med spil snyder, som de bruger til at sprede malware, men de har også inficere andre lignende hjemmesider med samme trojan. Ifølge SimilarWeb statistik, brugere gennemse disse hjemmesider i det mindste 127,400 gange om måneden”, – også opmærksom forskerne.
MonsterInstall er ikke den første malware angribende spillere. Fire måneder siden, For eksempel, en storstilet kampagne viste, at forfattere som aktivt annonceret mobil version af multiplayer spil Apex Legends, samt aimbits og bedrager. Distribueret af svindlere links faktisk førte til ondsindede websteder.
