Спецпроекты

Безопасность Пользователю

«Яндекс» передал в лабораторию «Доктор Веб» образец редкого Node.js-трояна

Компания «Яндекс» передала на исследование в вирусную лабораторию «Доктор Веб» образец редкого Node.js-троянца. Эта вредоносная программа, которая распространяется через сайты с читами для видеоигр, имеет несколько версий и компонентов. Она получила название Trojan.MonsterInstall и представляет собой троян-загрузчик, написанный на JavaScript и использующий для запуска Node.js.

При попытке скачать чит пользователь загружает на свой компьютер архив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.

Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.

Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.

Ресурсы, принадлежащие разработчику троянца – это румайнкрафт[.]рф, clearcheats[.]ru,

mmotalks[.]com, minecraft-chiter[.]ru, а также torrent-igri[.]com, worldcodes[.]ru и cheatfiles[.]ru. Кроме того, трояном заражены некоторые файлы на сайте proplaying[.]ru.

Специалисты «Доктор Веб» рекомендуют пользователям вовремя обновлять антивирус и не загружать сомнительное ПО.

Короткая ссылка