Een nieuwe modulaire trojan downloader in JavaScript is verschenen op het internet. Momenteel, Het kan worden verkregen, samen met de crypto mijnwerker advertentie van de belasting op de cheats voor videospelletjes.
windows malware, code-named MonsterInstall, is opmerkelijk voor het gebruik van Node.js de runtime-omgeving.web Doctor specialisten ontdekt en een ongewone monster geanalyseerd.
Het bleek dat, aanvallers distribueren MonsterInstall van hun sites met cheats voor populaire games (geregistreerd .RU en COM), en ook bestanden te infecteren op andere middelen van hetzelfde profiel.
“Door het aanvragen van een cheat, krijgt de bezoeker een met een wachtwoord beveiligd archief met een loader programma. “Wanneer gebruikers proberen een cheat te downloaden, ze downloaden van een wachtwoord is beveiligd 7zip archief aan hun computers. Binnen is er een uitvoerbaar bestand; die na lancering, zal de gevraagde cheats naast componenten andere trojan's downloaden”, - onderzoekers zegt.
Uit tests is gebleken dat dit uitvoerbaar bestand laadt niet alleen de gewenste inhoud, maar ook Trojan componenten: installer, achterdeur, updatemodule, cryptogeld Miner.
“Bonus” malware is geïnstalleerd in het systeem als een Windows-service en wordt voorgeschreven voor autorun het gebruik van de Windows Scheduler. na de lancering van, MonsterInstall verwijst eerste google.com, yandex.ru of www.i.ua om de huidige datum te krijgen. Het verzamelt dan informatie over het systeem en stuurt dit naar het bevel server.
Response bevat links naar bronnen met werkende modules, maar de eerste Trojan vergelijkt de waarde van de parameter dataTime met de huidige datum. Als het verschil is meer dan een week, hij zal niet opdrachten uit te voeren. Anders, laadt de benodigde componenten en lanceert ze voor de uitvoering.
De module die verantwoordelijk is voor het inzetten van de mijnwerker beëindigt de XMR, xmr64 en windows-updateprocessen (als ze actief zijn), en ook verzamelt wederom informatie over het systeem en stuurt deze naar de server. In antwoord, Hij ontvangt de configuratiegegevens, opgeslagen als een JSON-bestand, en begint de mijnbouw de cryptogeld – TurtleCoin.
“Ontwikkelaars van deze malware eigen meerdere websites met spel cheats, die ze gebruiken om de malware te verspreiden, maar ze infecteren ook andere soortgelijke websites met dezelfde trojan. Volgens de statistieken SimilarWeb's, gebruikers browsen deze websites ten minste 127,400 keer per maand”, – Let ook op de onderzoekers.
MonsterInstall is niet de eerste malware aanvallen gamers. Vier maanden geleden, Bijvoorbeeld, een grootschalige campagne bleek dat auteurs die actief geadverteerd mobiele versie van de multiplayer game Apex Legends, evenals aimbits en cheats. Verspreid door fraudeurs koppelingen daadwerkelijk heeft geleid tot schadelijke sites.
