Троян, написанный на JavaScript и использующий для запуска Node.js, маскируется под читы для игр

Исследователи «Доктор Веб» изучили модульного трояна-загрузчика, написанного на JavaScript и использующего для запуска Node.js. Малварь распространяется через сайты с читами для популярных видеоигр и получила название Trojan.MonsterInstall.

Образец редкого Node.js-троянца экспертам «Доктор Веб» передали сотрудники компании Яндекс. Малварь, распространяющаяся через сайты с читами для видеоигр, имеет несколько версий и компонентов. При попытке скачать чит пользователь загружает на свой компьютер архив 7zip, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами трояна.

Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на управляющий сервер. После получения ответа устанавливается в автозагрузку и начинает добычу криптовалюты TurtleCoin. Стоит отметить, что перед началом процесса загрузки малварь сравнивает значение dataTime в ответе сервера. Если разница в миллисекундах превышает неделю, вредонос прекращает работу и более не выполняет команды.

Авторы малвари используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц. В частности, разработчиками трояна принадлежат следующие ресурсы:

  • румайнкрафт[.]рф;
  • clearcheats[.]ru;
  • mmotalks[.]com;
  • minecraft-chiter[.]ru;
  • torrent-igri[.]com;
  • worldcodes[.]ru;
  • cheatfiles[.]ru.

Также малварью оказались заражены некоторые файлы на сайте proplaying[.]ru.

Полный список индикаторов компрометации, содержащий домены управляющих серверов, данные о сайтах злоумышленников, хеши SHA1 для нескольких вариантов MonsterInstall и ряда его модулей доступны здесь.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (2)

  • Я ничего не понял, написано: "При попытке скачать чит пользователь загружает на свой компьютер архив 7zip, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами трояна." - тогда причем тут JavaScript и Node.js ?

    • В архиве лоадер который подгружает движок nodejs и скрипты трояна. Давно ещё на забугорном форуме натыкался на ратник тоже на ноде и автор писал что единственной проблемой было то что нужен установленный нод для его работы. Ну видимо проблему все таки решили. Ах да, он ещё писал что антивирусники не обращают абсолютно никакого внимания на его работу так как не считают нод угрозой. Ищи NodeRat на гитхабе