0 |
Вирусная лаборатория «Доктор Веб» получила для исследования образец редкого троянца-загрузчика, написанного на JavaScript и использующего для запуска Node.js. Эта вредоносная программа, которая получила название Trojan.MonsterInstall, распространяется через сайты с читами для видеоигр. Она имеет несколько версий и компонентов.
При попытке скачать чит пользователь загружает на свой компьютер архив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.
Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает майнинг криптовалюты TurtleCoin.
Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.
Ресурсы, принадлежащие разработчику троянца:
-
румайнкрафт[.]рф;
-
clearcheats[.]ru;
-
mmotalks[.]com;
-
minecraft-chiter[.]ru;
-
torrent-igri[.]com;
-
worldcodes[.]ru;
-
cheatfiles[.]ru.
Кроме того, троянцем заражены некоторые файлы на сайте proplaying[.]ru.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |