Baden-Baden, 19. Juni 2019

Die Virenanalysten von Doctor Web untersuchten einen Schädling, der auf JavaScript geschrieben ist und Node.js zum Start im System verwendet. Die Malware verbreitet sich über Cheatsites für beliebte Videospiele und wird nun unter dem Namen Trojan.MonsterInstall geführt.

Das Team von Yandex übergab dem Virenlabor von Doctor Web eine Probe dieses seltenen Node.js-Trojaners zur Analyse. Es stellte sich heraus: Die Malware, die über Cheatsites für Videospiele verbreitet wird, hat mehrere Versionen und Komponenten.

Beim Herunterladen eines Cheats lädt der Nutzer ein passwortgeschütztes Archiv auf seinen Computer herunter. Darin befindet sich eine ausführbare Datei, die beim Start die notwendigen Cheats zusammen mit anderen Komponenten des Trojaners herunterlädt.

Trojan.MonsterInstall startet danach auf dem Gerät des Opfers, lädt alle notwendigen Module herunter, installiert sich im System, sammelt Systemdaten und sendet diese an den Server des Entwicklers. Nach Erhalt der Antwort wird er im Autostart-Verzeichnis installiert und fängt gleich an, die Kryptowährung TurtleCoin zu schürfen.

Zur Verbreitung des Trojaners nutzen Malware-Entwickler ihre eigenen Websites mit Cheats für beliebte Spiele und infizieren auch Dateien auf anderen ähnlichen Websites. Laut SimilarWeb-Statistik rufen Nutzer diese Websites etwa 127.400 Mal im Monat auf.

Websites, die dem Entwickler des Trojaners gehören:

• румайнкрафт[.]рф;
• clearcheats[.]ru;
• mmotalks[.]com;
• minecraft-chiter[.]ru;
• torrent-igri[.]com;
• worldcodes[.]ru;
• cheatfiles[.]ru.

Darüber hinaus sind einige Dateien auf der Webseite proplaying[.]ru infiziert.

Die Virenanalysten von Doctor Web empfehlen deshalb allen Nutzern, ihre Virenschutz-Apps auf einem aktuellen Stand zu halten und keine verdächtige Apps herunterzuladen.

Wir danken auch dem Team von Yandex für die bereitgestellte Probe sowie weitere Informationen zur Verbreitung des Schädlings.

Mehr zum Trojaner

Indikatoren des Kompromittierung