19 de junio de 2019

En el laboratorio de Doctor Web fue analizado un troyano descargador creado en JavaScript que usa Node.js para el inicio. El software nocivo se difunde a través de los sitios web con cheats para los videojuegos populares y fue llamado Trojan.MonsterInstall.

La empresa Yandex entregó al laboratorio de virus Doctor Web una muestra del troyano Node.js poco frecuente. Este programa nocivo que se difunde a través de los sitios web con cheats para videojuegos, tiene varias versiones y componentes.

Al intentar descargar un cheat, el usuario descarga en su equipo un archivo protegido con la contraseña. Dentro hay un archivo ejecutable que al iniciar descarga los cheats requeridos junto con otros componentes del troyano.

Al iniciarse en el equipo de la víctima, Trojan.MonsterInstall descarga e instala los módulos requeridos para su funcionamiento, recopila la información sobre el sistema y la envía al servidor del desarrollador. Una vez recibida la respuesta, se instala en el autoinicio y empieza a obtener (mining) la criptomoneda TurtleCoin.

Los desarrolladores del software nocivo usan para la difusión sus propios recursos con cheats de los juegos populares, y también infectan los archivos en otros sitios web similares. Según las estadísticas de SimilarWeb, los usuarios consultan estos sitios web unas 127 400 al mes.

Recursos que pertenecen al desarrollador del troyano:

• румайнкрафт[.]рф;
• clearcheats[.]ru;
• mmotalks[.]com;
• minecraft-chiter[.]ru;
• torrent-igri[.]com;
• worldcodes[.]ru;
• cheatfiles[.]ru.

Además, algunos archivos en el sitio web proplaying[.]ru están infectados con el troyano.

Los expertos de Doctor Web recomiendan a los usuarios actualizar el antivirus de forma oportuna y no descargara el software sospechoso.

La empresa Doctor Web también agradece a los expertos de la empresa Yandex por la muestra ofrecida y la información extra sobre las fuentes de difusión del programa nocivo.

Más información sobre el troyano

Indicadores del compromiso

#JavaScript #juegos #mining