В Интернете появился новый модульный троян-загрузчик, написанный на JavaScript. В настоящее время его можно получить вместе с криптомайнером в нагрузку к читам для видеоигр. Windows-зловред, получивший кодовое имя MonsterInstall, примечателен тем, что в качестве среды исполнения использует Node.js.

Необычный образец обнаружили специалисты компании «Яндекс»; впоследствии он был передан в «Доктор Веб» для анализа вместе с информацией о способе распространения. Как оказалось, злоумышленники раздают MonsterInstall со своих сайтов с читами к популярным играм (зарегистрированы в зонах .ru, .com и .рф), а также заражают файлы на других ресурсах такого же профиля. По данным экспертов, подобные площадки ежемесячно собирают порядка 127,4 тыс. визитов.

Запросив чит, посетитель получает запароленный архив с программой-загрузчиком. Тестирование показало, что этот исполняемый файл загружает не только искомый контент, но также компоненты трояна: инсталлятор, бэкдор, модуль обновления, майнер криптовалюты.

«Бонусный» зловред устанавливается в систему как Windows-служба и прописывается на автозапуск, используя планировщик Windows. После запуска MonsterInstall прежде всего обращается к google.com, yandex.ru или www.i.ua, чтобы получить текущую дату. Затем он собирает информацию о системе и отправляет ее на командный сервер.

В ответе содержатся ссылки на ресурсы с рабочими модулями, однако троян сначала сравнивает значение параметра dataTime с текущей датой. Если разница больше недели, выполнять команды он не будет. В противном случае он загружает нужные компоненты и запускает их на исполнение.

Модуль, отвечающий за развертывание майнера, завершает процессы xmr, xmr64 и windows-update (если они запущены), а также еще раз собирает информацию о системе и отправляет ее на свой сервер. В ответ он получает данные конфигурации, сохраняет их в виде JSON-файла и начинает майнить криптовалюту — TurtleCoin.

MonsterInstall — далеко не первый зловред, атакующий геймеров. Не далее как четыре месяца назад, например, была выявлена масштабная кампания, авторы которой активно рекламировали мобильную версию многопользовательской игры Apex Legends, а также аимботы и читы. Распространяемые мошенниками ссылки на самом деле вели на вредоносные сайты.

Категории: Аналитика, Вредоносные программы