Revenir vers la liste d'actualités
Le 19 juin 2019
Un échantillon d'un Trojan rare en Node.js a été transmis au Labo de Doctor Web par la société Yandex. Ce programme malveillant se propage via des sites proposant des cheats pour des jeux vidéo et il existe en plusieurs versions contenant plusieurs composants.
Lorsqu'un utilisateur tente de télécharger un cheat, il télécharge sur son ordinateur une archive protégée par mot de passe. Cette archive contient un fichier exécutable qui à son tour, après son lancement, télécharge les cheats dont il a besoin avec d'autres composants du Trojan.
Une fois lancé sur la machine d'une victime, Trojan.MonsterInstall télécharge et installe des modules nécessaires pour son fonctionnement et collecte des informations sur le système qu'il envoie ensuite vers le serveur de son éditeur. Après avoir reçu une réponse, il s'installe dans l'auto-démarrage et se met à l'extraction (mining) de crypto-monnaie TurtleCoin.
Les développeurs du malware utilisent leurs propres ressources avec des cheats pour des jeux populaires, ils contaminent également des fichiers sur d’autres sites similaires. Selon les statistiques de SimilarWeb, les utilisateurs consultent ces sites 127 400 fois par mois.
Ressources détenues par le développeur du Trojan :
- румайнкрафт[.]рф;
- clearcheats[.]ru;
- mmotalks[.]com;
- minecraft-chiter[.]ru;
- torrent-igri[.]com;
- worldcodes[.]ru;
- cheatfiles[.]ru.
De plus, certains fichiers sur le site proplaying [.]ru sont également contaminés par ce Trojan.
Les experts de Doctor Web recommandent aux utilisateurs de mettre à jour l'antivirus et de ne pas télécharger de logiciels douteux.
Doctor Web tient à remercier les spécialistes de Yandex pour l'échantillon remis et pour les informations complémentaires fournies concernant les ressources de propagation du malware.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments