Интернет/безопасность

MonsterInstall — новый троян на основе JavaScript в виде игровых читов

Злоумышленники распространяют новый троян MonsterInstall на основе JavaScript в виде игровых читов.

— Троян MonsterInstall получает постоянство, добавляя себя в автозапуск зараженной системы, чтобы автоматически запускаться после перезагрузки компьютера.

— Троян-загрузчик также загружает в зараженную систему модуль крипто-майнинга «xmrig.dll».

Исследователи обнаружили новый троян на основе JavaScript под названием «MonsterInstall», который распространяется в виде игровых читов через веб-сайты, принадлежащие злоумышленникам.

Как работает троян?

Исследователи из Яндекса обнаружили трояна загрузчика MonsterInstall, который затем сообщил об этом исследовательской группе компании «Доктор Веб» для дальнейшего анализа. Исследователи «Доктор Веб» проанализировали образец трояна и выявили следующее.

— Когда пользователи скачивают чит-игру, они скачивают защищенный паролем zip-архив, который содержит исполняемый файл.
— После запуска исполняемый файл загружает чит игры вместе с троянскими компонентами MonsterInstall.
— После запуска трояна он получает постоянство, добавляя себя в автозапуск зараженной системы, чтобы автоматически запускаться после перезагрузки компьютера.
— Затем MonsterInstall начинает собирать системную информацию и отправляет ее на сервер C&C, контролируемый злоумышленником.
— Затем троянец-загрузчик загружает криптографический модуль xmrig.dll в зараженную систему.

Модуль криптоминирования

Модуль cryptomining загружает вредоносный исполняемый файл xmrig.exe. Исполняемый файл отправляет системную информацию на свой сервер C&C и возвращает конфигурацию майнера в виде файла JSON.

После загрузки файла конфигурации майнера он автоматически запустится и начнет анализ криптовалюты TurtleCoin.

«Разработчики этой вредоносной программы владеют несколькими веб-сайтами с игровыми читами, которые они используют для распространения вредоносной программы, но они также заражают другие подобные веб-сайты тем же трояном. Согласно статистике SimilarWeb, пользователи посещают эти сайты не менее 127 400 раз в месяц», — сказали исследователи компании «Доктор Веб».

Get Free Email Updates!

Signup now and receive an email once I publish new content.

I agree to have my personal information transfered to MailChimp ( more information )

I will never give away, trade or sell your email address. You can unsubscribe at any time.

Теги
Показать больше

newsvan

В комментариях запрещены: нецензурная брань во всех видах, высказывания способствующие разжиганию межнациональной, межрелигиозной и иной розни, рекламные сообщения, провокации и оскорбления, а также комментарии, содержащие ссылки на сторонние сайты. Также просим вас не обращаться в комментариях к героям статей, политикам и международным лидерам — они вас не услышат. Бессодержательные, бессвязные и комментарии, требующие перевода с экзотических языков, а также конспирологические теории и проекции будут удаляться. Спасибо за понимание! 🤟

Статьи по теме

Close