Um novo trojan downloader modular em JavaScript tem aparecido na Internet. atualmente, ele pode ser obtido, juntamente com o anúncio mineiro cripto a carga para as fraudes para jogos de vídeo.
Windows malwares, o nome de código instale amostra, é notável para a utilização Node.js como o ambiente de tempo de execução.Doutor web especialistas descoberto e analisada uma amostra incomum.
Enquanto girou para fora, atacantes distribuir MonsterInstall de seus sites com fraudes para jogos populares (registrado em .RU e .COM), e também infectam arquivos em outros recursos do mesmo perfil.
“Ao solicitar uma fraude, o visitante recebe um arquivo protegido por senha com um programa gerenciador. “Quando os usuários tentam baixar uma fraude, eles baixar um arquivo 7zip protegido por senha para seus computadores. No interior, há um arquivo executável; que após o lançamento, irá baixar as fraudes solicitados ao lado de componentes do outro trojan”, - pesquisadores diz.
Testes mostraram que este carrega o arquivo executável não só o conteúdo desejado, mas componentes também Tróia: instalador, Porta dos fundos, módulo de atualização, criptomoeda Miner.
“Bônus” malware é instalado no sistema como um serviço do Windows e é prescrito para a execução automática usando o Agendador do Windows. depois de lançar, MonsterInstall primeiro refere-se a google.com, yandex.ru ou www.i.ua para obter a data atual. Em seguida, ele coleta informações sobre o sistema e envia para o servidor de comando.
Resposta contém links para recursos com módulos de trabalho, mas o trojan primeiro compara o valor do parâmetro DataTime com a data atual. Se a diferença for mais de uma semana, ele não vai executar comandos. De outra forma, ele carrega os componentes necessários e lança-los para execução.
O módulo responsável pela implantação do mineiro termina a XMR, xmr64 e processos janelas de atualização (se eles estão executando), e também recolhe mais uma vez informações sobre o sistema e envia para o servidor. Em resposta, ele recebe os dados de configuração, salva como um arquivo JSON, e começa a minar o criptomoeda – TurtleCoin.
“Os desenvolvedores deste malware próprias vários sites com fraudes do jogo, que eles usam para espalhar o malware, mas eles também infectam outros sites semelhantes com o mesmo trojan. De acordo com as estatísticas de SimilarWeb, os usuários navegam estes sites, pelo menos, 127,400 vezes por mês”, – Também observam os pesquisadores.
MonsterInstall não é a primeira malwares atacar gamers. Quatro meses atrás, Por exemplo, uma campanha em larga escala revelou que os autores que ativamente anunciado a versão móvel do jogo multiplayer Apex Legends, bem como aimbits e fraudes. Distribuído por ligações fraudadores realmente levaram a sites maliciosos.
