Un nuevo troyano downloader modular en JavaScript ha aparecido en Internet. Actualmente, se puede obtener junto con el anuncio de la minera cripto la carga a los trucos para videojuegos.
WiNDOWS software malicioso, cuyo nombre en código instalar la muestra, es notable por el uso de Node.js como el entorno de ejecución.Doctor Web especialistas descubrieron y se analizaron una muestra inusual.
Como se vio despues, atacantes distribuyen MonsterInstall de sus sitios con los tramposos a los juegos populares (registrada en .RU y .COM), y también infectar los archivos de otros recursos de la misma perfil.
“Al solicitar un tramposo, el visitante recibe un archivo protegido por contraseña con un programa cargador. “Cuando los usuarios intentan descargar un tramposo, que descarga un archivo 7zip protegido por contraseña a sus ordenadores. En el interior hay un archivo ejecutable; que, tras la puesta en marcha, descargará los tramposos solicitados junto con componentes de otros troyanos”, - investigadores dice.
Las pruebas han demostrado que este ejecutable carga el archivo no sólo el contenido deseado, sino también componentes de Troya: instalador, puerta trasera, módulo de actualización, criptomoneda Miner.
“Prima” el malware se instala en el sistema como un servicio de Windows y se prescribe para la ejecución automática utilizando el Programador de Windows. después de lanzar, MonsterInstall primera se refiere a google.com, yandex.ru o www.i.ua para obtener la fecha actual. A continuación, recoge información sobre el sistema y lo envía al servidor de comando.
Respuesta contiene enlaces a los recursos con los módulos de trabajo, pero el troyano compara primero el valor del parámetro DataTime con la fecha actual. Si la diferencia es más de una semana, no va a ejecutar comandos. De otra manera, que carga los componentes necesarios y los lanza para su ejecución.
El módulo responsable de la implementación de la minera termina la xmr, xmr64 y procesos ventanas de actualización (si se están ejecutando), y además contiene una vez más información sobre el sistema y lo envía a su servidor. En respuesta, que recibe los datos de configuración, lo guarda como una archivo JSON, y comienza la minería de la criptomoneda – TurtleCoin.
“Los desarrolladores de este malware propios sitios web con varios trucos de juegos, que utilizan para propagar el malware, pero también infectan otros sitios web similares con el mismo troyano. De acuerdo con las estadísticas de SimilarWeb, los usuarios navegar por estos sitios web por lo menos 127,400 veces al mes”, – También tenga en cuenta los investigadores.
MonsterInstall no es el primer software malicioso atacar a los jugadores. Hace cuatro meses, Por ejemplo, una campaña a gran escala reveló que los autores, que anuncian activamente versión móvil del juego de varios jugadores Leyendas Apex, así como aimbits y los tramposos. Distribuido por los defraudadores enlaces realidad dirigidos a sitios maliciosos.
Fuente: https://www.bleepingcomputer.com
