Eine neue modulare Trojaner-Downloader in JavaScript ist im Internet erschienen. Zur Zeit, es kann zusammen mit der Krypto-Bergmann Anzeige der Last auf die Cheats für Videospiele erhalten wird.
Windows Malware, Codenamen MonsterInstall, Bemerkenswert ist, für die Verwendung von node.js als Laufzeitumgebung.Web-Doktor Spezialisten entdeckt und analysiert, um eine ungewöhnliche Probe.
Wie sich herausstellte, Angreifer verteilt MonsterInstall von ihren Websites mit betrügt, um beliebte Spiele (in .RU registriert und .COM), und infizieren Dateien auch auf andere Ressourcen des gleichen Profils.
“Mit dem Antrag einen Cheat, Der Besucher erhält ein passwortgeschützten Archiv mit einem Ladeprogramm. “Wenn Benutzer versuchen, einen Cheat zum Download, sie laden Sie ein kennwortgeschützte 7zip-Archiv auf ihre Computer. Im Inneren befindet sich eine ausführbare Datei; die beim Start, wird die angeforderte Cheats neben anderem Trojaner Komponenten”, - Forscher sagen.
Tests haben gezeigt, dass diese ausführbare Datei lädt nicht nur der gewünschte Inhalt, sondern auch Trojan Komponenten: Installateur, Hintertür, Update-Modul, Kryptowährung Miner.
“Bonus” Malware im System als Windows-Dienst installiert und ist für die automatische Ausführung vorgeschrieben mit den Windows-Scheduler. nach dem Start, MonsterInstall bezieht sich zunächst auf google.com, yandex.ru oder www.i.ua das aktuelle Datum zu erhalten. Es sammelt dann Informationen über das System und sendet sie an den Befehlsserver.
Antwort enthält Links zu Ressourcen mit Arbeitsmodulen, aber der Trojan erstes vergleicht den Wert der Datatime-Parameter mit dem aktuellen Datum. Wenn die Differenz mehr als eine Woche, er keine Befehle ausführen. Andernfalls, es lädt die notwendigen Komponenten und startet sie für die Ausführung.
Das Modul für die Bereitstellung der Miner endet der xmr, xmr64 und Fenster-Update-Prozesse (wenn sie ausgeführt werden), und sammelt auch wieder Informationen über das System und sendet sie an ihren Server. In Beantwortung, er erhält die Konfigurationsdaten, speichert es als ein JSON-Datei, und startet die Kryptowährung Bergbau – TurtleCoin.
“Entwickler dieser Malware eigenen mehrere Websites mit Spiel Cheats, die sie verwenden, um die Malware zu verbreiten, aber sie infizieren auch andere ähnliche Websites mit dem gleichen Trojaner. Nach SimilarWeb Statistiken, Benutzer sehen diese Websites zumindest 127,400 Mal pro Monat”, – beachten Sie auch die Forscher.
MonsterInstall ist nicht die erste Malware-Spieler angreifen. Vor vier Monaten, Zum Beispiel, eine Kampagne groß angelegte ergab, dass Autoren, die aktiv mobile Version des Multiplayer-Spiel beworben Apex Legends, sowie aimbits und Cheats. Vertrieben von Betrügern Links führten tatsächlich zu bösartigen Websites.
Quelle: https://www.bleepingcomputer.com
