2019年6月21日

株式会社Doctor Web Pacific

Doctor Webのウイルスラボでは、新しい種類のダウンローダ型トロイの木馬について調査を行いました。このマルウェアは JavaScript で書かれ、 Node.js を使用してシステム内で自身を起動させます。 Trojan.MonsterInstall と名付けられたこのトロイの木馬は、人気ゲームのチートを提供するサイトから拡散されていました。

この度、Doctor Webのウイルスラボは Yandex 社より Node.js トロイの木馬の希少なサンプルの提供を受け、それについて調査を依頼されました。このマルウェアはゲームのチートを提供するサイトから拡散されていたもので、複数のバージョンとコンポーネントがあります。

ユーザーがチートをダウンロードしようとすると、コンピューター上にパスワード保護された7zipアーカイブがダウンロードされます。アーカイブには実行ファイルが含まれており、このファイルは、起動されるとユーザーが要求したチートと一緒に他のトロイの木馬のコンポーネントをダウンロードします。

被害者のデバイス上で起動されると、 Trojan.MonsterInstall はその動作に必要なすべてのコンポーネントをダウンロード・インストールし、システムに関する情報を収集してトロイの木馬開発者のサーバーに送信します。そして応答を受け取ると、自動実行されるように自身を登録し、仮想通貨 TurtleCoin のマイニングを開始します。

このトロイの木馬の開発者は、それらを拡散するためのゲームのチートを提供するサイトを複数所有していますが、そのほかに、同じような他のサイトもトロイの木馬に感染させています。 SimilarWeb の統計によると、これらのサイトは月に12万7400回以上閲覧されています。

以下はマルウェアの開発者が所有するサイトです。

• румайнкрафт[.]рф;
• clearcheats[.]ru;
• mmotalks[.]com;
• minecraft-chiter[.]ru;
• torrent-igri[.]com;
• worldcodes[.]ru;
• cheatfiles[.]ru.

上記サイトのほか、 proplaying\[.]ru のチートも一部感染していることが明らかになっています。

Doctor Webでは、アンチウイルスを適時にアップデートし、疑わしいソフトウェアをダウンロードしないようにすることを推奨しています。

トロイの木馬のサンプルと拡散元に関する情報をご提供いただいた Yandex 社に対し、厚く御礼申し上げます。

MonsterInstallの詳細(英語)

IoC (Indicators of compromise)

#JavaScript #games #mining