Интернет/безопасность

MonsterInstall — новый троян на основе JavaScript в виде игровых читов

Злоумышленники распространяют новый троян MonsterInstall на основе JavaScript в виде игровых читов.

— Троян MonsterInstall получает постоянство, добавляя себя в автозапуск зараженной системы, чтобы автоматически запускаться после перезагрузки компьютера.

— Троян-загрузчик также загружает в зараженную систему модуль крипто-майнинга «xmrig.dll».

Исследователи обнаружили новый троян на основе JavaScript под названием «MonsterInstall», который распространяется в виде игровых читов через веб-сайты, принадлежащие злоумышленникам.

Как работает троян?

Исследователи из Яндекса обнаружили трояна загрузчика MonsterInstall, который затем сообщил об этом исследовательской группе компании «Доктор Веб» для дальнейшего анализа. Исследователи «Доктор Веб» проанализировали образец трояна и выявили следующее.

— Когда пользователи скачивают чит-игру, они скачивают защищенный паролем zip-архив, который содержит исполняемый файл.
— После запуска исполняемый файл загружает чит игры вместе с троянскими компонентами MonsterInstall.
— После запуска трояна он получает постоянство, добавляя себя в автозапуск зараженной системы, чтобы автоматически запускаться после перезагрузки компьютера.
— Затем MonsterInstall начинает собирать системную информацию и отправляет ее на сервер C&C, контролируемый злоумышленником.
— Затем троянец-загрузчик загружает криптографический модуль xmrig.dll в зараженную систему.

Модуль криптоминирования

Модуль cryptomining загружает вредоносный исполняемый файл xmrig.exe. Исполняемый файл отправляет системную информацию на свой сервер C&C и возвращает конфигурацию майнера в виде файла JSON.

После загрузки файла конфигурации майнера он автоматически запустится и начнет анализ криптовалюты TurtleCoin.

«Разработчики этой вредоносной программы владеют несколькими веб-сайтами с игровыми читами, которые они используют для распространения вредоносной программы, но они также заражают другие подобные веб-сайты тем же трояном. Согласно статистике SimilarWeb, пользователи посещают эти сайты не менее 127 400 раз в месяц», — сказали исследователи компании «Доктор Веб».

Теги
Показывать больше

Статьи по теме

Close