この度、Doctor Webのウイルスラボは Yandex 社より Node.js トロイの木馬の希少なサンプルの提供を受け、それについて調査を依頼されました。このマルウェアはゲームのチートを提供するサイトから拡散されていたもので、複数のバージョンとコンポーネントがあります。
ユーザーがチートをダウンロードしようとすると、コンピューター上にパスワード保護された7zipアーカイブがダウンロードされます。アーカイブには実行ファイルが含まれており、このファイルは、起動されるとユーザーが要求したチートと一緒に他のトロイの木馬のコンポーネントをダウンロードします。
被害者のデバイス上で起動されると、 Trojan.MonsterInstall はその動作に必要なすべてのコンポーネントをダウンロード・インストールし、システムに関する情報を収集してトロイの木馬開発者のサーバーに送信します。そして応答を受け取ると、自動実行されるように自身を登録し、仮想通貨 TurtleCoin のマイニングを開始します。
このトロイの木馬の開発者は、それらを拡散するためのゲームのチートを提供するサイトを複数所有していますが、そのほかに、同じような他のサイトもトロイの木馬に感染させています。 SimilarWeb の統計によると、これらのサイトは月に12万7400回以上閲覧されています。
詳細は以下をご覧ください。
(リンク »)
お問い合わせにつきましては発表元企業までお願いいたします。