En ny modulær trojan dataoverførte i Javascript har dukket opp på Internett. For tiden, det kan fås sammen med krypto miner annonsen lasten på bedrager for videospill.
Windows malware, code-named MonsterInstall, er kjent for å bruke node.js som runtime miljøet.web Doctor spesialister oppdaget og analysert med en uvanlig prøve.
Som det viste seg, angripere distribuere MonsterInstall fra sine områder med juksekoder til populære spill (registrert i .ru og .com), og også infisere filer på andre ressurser av den samme profilen.
“Ved å be om en bedrager, den besøkende får en passordbeskyttet arkiv med en loader program. “Når brukere prøver å laste ned en bedrager, de laster ned en passordbeskyttet 7zip arkivet til sine datamaskiner. Inne er det en kjørbar fil; som ved utskytning, vil laste ned de forespurte bedrager sammen med andre trojanske komponenter”, - Forskerne sier.
Testing har vist at denne kjørbare filen lastes ikke bare ønsket innhold, men også trojanske komponenter: installatør, bakdør, oppdatering modul, kryptovaluta Miner.
“Bonus” malware er installert i systemet som en Windows-tjeneste og er foreskrevet for autorun bruker Windows Scheduler. etter lansering, MonsterInstall første angir google.com, yandex.ru eller www.i.ua å få dagens dato. Den samler deretter informasjon om systemet og sender det til kommandoen serveren.
Response inneholder lenker til ressurser med arbeider moduler, men den orm sammen første verdien av parameteren dataTime med dagens dato. Hvis forskjellen er mer enn en uke, han vil ikke utføre kommandoer. Ellers, den laster de nødvendige komponentene og lanserer dem for utførelse.
Modulen ansvarlig for distribusjon av miner avslutter XMR, xmr64 og vinduer oppdatering prosesser (hvis de kjører), og også nok en gang samler informasjon om systemet og sender det til sin server. Som svar, Han mottar konfigurasjonsdata, lagrer det som en JSON-fil, og starter gruvedrift kryptovaluta – TurtleCoin.
“Utviklerne av denne malware eier flere nettsteder med spillet cheats, som de bruker for å spre den skadelige, men de kan også infisere andre lignende nettsteder med samme trojan. Ifølge SimilarWeb statistikk, brukere bla disse nettstedene minst 127,400 ganger per måned”, – også oppmerksom på forskerne.
MonsterInstall er ikke den første malware angripe spillere. Fire måneder siden, For eksempel, en storstilt kampanje avslørte at forfattere som aktivt annonsert mobile versjonen av flerspillerspill Apex Legends, samt aimbits og bedrager. Distribuert av svindlere linker faktisk førte til ondsinnede nettsteder.
