자바 스크립트의 새로운 모듈 형 트로이 목마 다운로더는 인터넷에 등장했다. 현재, 그것은 비디오 게임에 대한 사기꾼에 암호 광부 광고에 부하를 함께 얻을 수 있습니다.
Windows 악성 코드, 코드네임 몬스터 설치, 사용 주목할 만하다 Node.js를 런타임 환경으로.웹 의사 전문가들은 발견 특이한 샘플을 분석.
그것은 알고 보니, 공격자는 인기 게임 치트와 함께 자신의 사이트에서 MonsterInstall 배포 (.RU 및 .COM 등록), 또한 동일한 프로파일의 다른 자원에 파일을 감염.
“속임수를 요청하여, 방문자는 로더 프로그램을 암호로 보호 된 아카이브를 수신. “사용자는 속임수를 다운로드 할 때, 그들은 자신의 컴퓨터에 암호로 보호 된 7zip과 아카이브를 다운로드. 내부 실행 파일이있다; 출시에 따라 어떤, 다른 트로이 목마의 구성 요소와 함께 요청 된 속임수를 다운로드합니다”, - 연구자는 말한다.
테스트는 보여 주었다 그이 실행 파일이로드뿐만 아니라 원하는 내용, 또한 트로이 목마 구성 요소: 설치, 뒷문, 업데이트 모듈, 암호 화폐 광부.
“보너스” 악성 코드는 Windows 서비스로 시스템에 설치하고 Windows 스케줄러를 사용하여 자동 실행을위한 처방. 실행 후, MonsterInstall 먼저 지칭 google.com, yandex.ru 또는 www.i.ua 현재 날짜를 얻을 수. 그런 다음 시스템에 대한 정보를 수집하고 명령 서버로 전송.
응답 작업 모듈과 자원에 대한 링크가 포함되어 있습니다, 그러나 트로이 먼저 현재 날짜와 dataTime 매개 변수의 값을 비교하여. 차이는 일주일 이상이면, 그는 명령을 실행하지 않습니다. 그렇지 않으면, 그것은 필요한 구성 요소를로드하고 실행을 실행.
광부 배포를 담당하는 모듈은 종료한다 XMR, xmr64 창문 업데이트 프로세스 (그들이 실행하는 경우), 또한 다시 한 번 시스템에 대한 정보를 수집하고 서버로 전송. 답으로, 그 구성 데이터를 수신, 로 저장 JSON 파일, 그리고 암호 화폐 광업 시작 – TurtleCoin.
“게임 속임수이 악성 코드 자신의 여러 웹 사이트의 개발자, 그들은 악성 코드를 전파하는 데 사용하는, 하지만 그들은 같은 트로이 목마와 다른 유사한 웹 사이트를 감염. SimilarWeb의 통계에 따르면, 사용자는 적어도이 웹 사이트를 탐색 127,400 한 달에 회”, – 또한 연구자주의.
MonsterInstall 게이머를 공격하는 최초의 악성 코드하지 않습니다. 네 달 전, 예를 들면, 대규모 캠페인은 저자 것은 적극적으로 멀티 플레이어 게임의 모바일 버전을 광고하는 것으로 나타났다 에이펙스 전설, 뿐만 아니라 aimbits과 속임수로. 실제로 악성 사이트에지도 사기꾼 링크에 의해 분산.
