Hjem » Nyheder » Websteder med snydekoder til spil distribuere brugere til belastningen trojanske krypto minearbejder

Websteder med snydekoder til spil distribuere brugere til belastningen trojanske krypto minearbejder

En ny modulopbygget trojan downloader i JavaScript er dukket op på internettet. I øjeblikket, den kan opnås sammen med krypto minearbejder annonce belastningen til de bedrager for videospil.

Windows malware, kodenavnet Installer prøve, er kendt for at bruge node.js som kørselstidsmiljøet.

web Læge specialister opdaget og analyseret en usædvanlig prøve.

Som det viste sig, angribere distribuere MonsterInstall fra deres websteder med snydekoder til populære spil (registreret i HLstatsX og .COM), og også inficere filer på andre ressourcer i samme profil.

“Ved at anmode om en bedrager, den besøgende får et password-beskyttet arkiv med en loader program. “Når brugere forsøger at hente en snyde, de henter en password-beskyttet 7zip arkiv til deres computere. Inden der er en eksekverbar fil; som ved opstart, vil hente de ønskede cheat sammen andre trojanske komponenter”, - forskere siger.

Test har vist, at denne eksekverbare fil belastninger ikke kun det ønskede indhold, men også trojanske komponenter: installatør, bagdør, opdatering modul, cryptocurrency minearbejder.

“Bonus” malware er installeret i systemet som en Windows service og er ordineret til autorun ved hjælp af Windows Scheduler. efter lanceringen, MonsterInstall første vedrører google.com, yandex.ru eller www.i.ua for at få den aktuelle dato. Den indsamler derefter oplysninger om systemet og sender den til kommandoen serveren.

Reaktion indeholder links til ressourcer med arbejdsgrupper moduler, men den trojanske først sammenligner værdien af ​​dataTime parameter med den aktuelle dato. Hvis forskellen er mere end en uge, han vil ikke udføre kommandoer. Ellers, det indlæser de nødvendige komponenter og lancerer dem til udførelse.

Modulet er ansvarlig for implementering af minearbejder afslutter XMR, xmr64 og vinduer-opdatering processer (hvis de kører), og også endnu engang indsamler oplysninger om systemet og sender den til sin server. Som svar, han modtager konfigurationsdata, gemmer det som et JSON fil, og begynder minedrift cryptocurrency – TurtleCoin.

“Udviklere af denne malware egne flere hjemmesider med spil snyder, som de bruger til at sprede malware, men de har også inficere andre lignende hjemmesider med samme trojan. Ifølge SimilarWeb statistik, brugere gennemse disse hjemmesider i det mindste 127,400 gange om måneden”, – også opmærksom forskerne.

MonsterInstall er ikke den første malware angribende spillere. Fire måneder siden, for eksempel, en storstilet kampagne viste, at forfattere som aktivt annonceret mobil version af multiplayer spil Apex Legends, samt aimbits og bedrager. Distribueret af svindlere links faktisk førte til ondsindede websteder.

LÆS  Malware Echobot angriber IoT enheder, Oracle-applikationer, VMware og udnytter gamle sårbarheder

Kilde: https://www.bleepingcomputer.com

[i alt: 0    Gennemsnit: 0/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

APT34 hjælp LinkedIn til at levere en bagdør

Iranske hackere APT34 bruge LinkedIn til at levere en bagdør

Cyberkriminalitet gruppe APT34, som er forbundet med den iranske regering, fortsætter sin spionage kampagner, …

Extenbro Trojan

Extenbro Trojan erstatter DNS og blokerer adgang til antivirus sites

Malwarebytes Labs specialists discovered Extenbro Trojan, which not only replaces DNS for displaying advertisements, men …

Skriv et svar