Выявлен ряд сайтов с читами для видеоигр, которые распространяют программы для криптоджекинга

Компания Яндекс, используя систему защиты сайтов Protect, выявила и передала для изучения в вирусную лабораторию «Доктор Веб» образец редкого Node.js-троянца вместе с данными о сайтах, где он был обнаружен.

Вредоносное ПО, распространяемое через сайты с читами для видеоигр, получило название Trojan.MonsterInstall и представляет собой троян-загрузчик, написанный на JavaScript и использующий для запуска Node.js.

При попытке скачать чит пользователь загружает на свой компьютер архив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.

Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает скрытый майнинг криптовалюты TurtleCoin (TRTL) .

Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.

Ресурсы, принадлежащие разработчику троянца:

  • румайнкрафт[.]рф,
  • clearcheats[.]ru,
  • mmotalks[.]com,
  • minecraft-chiter[.]ru,
  • torrent-igri[.]com,
  • worldcodes[.]ru cheatfiles[.]ru.
  • Кроме того, трояном заражены некоторые файлы на сайте proplaying[.]ru.
  • Отметим, что это уже не первый раз, когда монета TurtleCoin фигурирует в новостях о криптоджекерах. Так в конце мая международная группа по кибербезопасности Guardicore Labs обнаружила атаку хакеров, в ходе которой вредоносным ПО для добычи TurtleCoin были заражены более 50 тысяч серверов.

    География компании криптоджекеров предположительно составила 90 стран, но большинство жертв были из Китая, США и Индии. Аналитики не смогли определить, какую прибыль удалось получить злоумышленникам.

    Напомним. что эксперты компании Group-IB сообщили, что владельцы 32 расширений для хранения виртуальных монет и более 100 международных банков могут быть атакованы через Android-троянскую программу Gustuff.

    coinfortoday.com