Компания Яндекс передала на исследование в вирусную лабораторию Доктор Веб образец редкого Node.js-троянца и сообщила дополнительную информацию об источниках его распространения.
Эта вредоносная программа, распространяемая через сайты с читами для видеоигр, имеет несколько версий и компонентов. Она получила название Trojan.MonsterInstall и представляет собой троян-загрузчик, написанный на JavaScript и использующий для запуска Node.js.
При попытке скачать чит пользователь загружает на свой компьютер архив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.
Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.
Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.
Ресурсы, принадлежащие разработчику троянца – это румайнкрафт[.]рф, clearcheats[.]ru, mmotalks[.]com, minecraft-chiter[.]ru, а также torrent-igri[.]com, worldcodes[.]ru и cheatfiles[.]ru. Кроме того, трояном заражены некоторые файлы на сайте proplaying[.]ru.
Напомним, в 2015 году Яндекс разработал технологию активной защиты пользователей своего браузера Protect. Это комплекс механизмов, которые защищают компьютеры пользователей от наиболее распространенных в интернете опасностей: фишинга, вредоносных сайтов, перехвата личных данных. Ключевой особенностью технологии является действие на опережение.