Российская компания Яндекс, владеющая собственной технологией защиты сайтов Protect, обнаружила и передала на исследование в вирусную лабораторию «Доктор Веб» образец редкого Node.js-троянца, вместе с информацией об источниках его распространения.
Вредоносное ПО, распространяемое через сайты с читами для видеоигр, получило название Trojan.MonsterInstall и представляет собой троян-загрузчик, написанный на JavaScript и использующий для запуска Node.js.
При попытке скачать чит пользователь загружает на свой компьютер архив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.
Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает скрытый майнинг криптовалюты TurtleCoin (TRTL) .
Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.
Ресурсы, принадлежащие разработчику троянца:
- румайнкрафт[.]рф,
- clearcheats[.]ru,
- mmotalks[.]com,
- minecraft-chiter[.]ru,
- torrent-igri[.]com,
- worldcodes[.]ru cheatfiles[.]ru.
Кроме того, трояном заражены некоторые файлы на сайте proplaying[.]ru.
Отметим, что это уже не первый раз, когда монета TurtleCoin фигурирует в новостях о криптоджекерах. Так в конце мая международная группа по кибербезопасности Guardicore Labs обнаружила атаку хакеров, в ходе которой вредоносным ПО для добычи TurtleCoin были заражены более 50 тысяч серверов.
География компании криптоджекеров предположительно составила 90 стран, но большинство жертв были из Китая, США и Индии. Аналитики не смогли определить, какую прибыль удалось получить злоумышленникам.
Новости криптовалют – Anycoin.news
Автор: Оксана Мамчуева