19 giugno 2019

Nel laboratorio Doctor Web è stato esaminato un trojan downloader che è scritto in JavaScript e utilizza Node.js per l'avvio. Il software malevolo viene distribuito attraverso siti con cheat per videogiochi popolari, è stato denominato Trojan.MonsterInstall.

L'azienda Yandex ha fornito per l'analisi al laboratorio di virus Doctor Web un campione di un trojan raro su Node.js. Questo programma malevolo, che viene distribuito attraverso siti con cheat per videogiochi, ha diverse versioni e componenti.

Quando l'utente cerca di scaricare un cheat, scarica sul computer un archivio protetto da password. All'interno c'è un file eseguibile che, una volta lanciato, scarica i cheat richiesti, accompagnati però da ulteriori componenti del trojan.

Avviato sul dispositivo vittima, Trojan.MonsterInstall scarica e installa i moduli necessari per il suo funzionamento, raccoglie informazioni sul sistema e le invia sul server dello sviluppatore. Dopo aver ricevuto la risposta, si imposta nell'esecuzione automatica e si mette a fare il mining della criptovaluta TurtleCoin.

Per distribuire il software malevolo, gli sviluppatori utilizzano risorse con cheat per videogiochi popolari, e inoltre, infettano file su altri siti simili. Secondo le statistiche SimilarWeb, gli utenti visualizzano questi siti circa 127.400 volte al mese.

Le risorse appartenenti allo sviluppatore del trojan:

• румайнкрафт[.]рф;
• clearcheats[.]ru;
• mmotalks[.]com;
• minecraft-chiter[.]ru;
• torrent-igri[.]com;
• worldcodes[.]ru;
• cheatfiles[.]ru.

Oltre a ciò, alcuni file sono infettati dal trojan sul sito proplaying[.]ru.

Gli specialisti Doctor Web consigliano agli utenti di aggiornare tempestivamente l'antivirus e di non scaricare software non affidabili.

Inoltre, l'azienda Doctor Web ringrazia gli specialisti dell'azienda Yandex per il campione fornito e le informazioni aggiuntive sulle fonti di diffusione del programma malevolo.

Informazioni sul trojan

Indicatori di compromissione

#JavaScript #giochi #mining