Share this article
Nuevo minero de malware se oculta sigilosamente cuando el Administrador de tareas está abierto
Conozca "Norman", una nueva variante de malware de minería de monero que utiliza trucos astutos para evitar ser detectado.
Updated Sep 13, 2021, 11:20 a.m. Published Aug 15, 2019, 1:30 p.m.
Conozca "Norman", una nueva variante de malware de minería de monero que utiliza trucos astutos para evitar ser detectado.
El código malicioso fueidentificado porInvestigadores de la empresa de seguridad de datos Varonis cuando investigaban una plaga de mineros de criptomonedas en una "empresa de tamaño mediano".
CONTINÚA MÁS ABAJO
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
Casi todos los servidores y estaciones de trabajo estaban infectados con malware. La mayoría eran variantes genéricas de criptomineros. Algunos eran herramientas de volcado de contraseñas, otros eran shells PHP ocultos, y algunos llevaban varios años presentes, afirmó la empresa.
Sin embargo, un minero destacó: Norman, como lo apodó el equipo.
La carga útil de Norman tiene dos funciones principales: ejecutar su criptominero basado en XMRig y evitar la detección.
Tras la inyección, sobrescribe su entrada en explorer.exe para ocultar su presencia. Además, detiene el minero cuando el usuario del PC abre el Administrador de tareas (ver imagen a continuación). Se reinyecta cuando el Administrador de tareas deja de ejecutarse.
El elemento minero del malware se basa en el código XMRig disponible abiertamentealojado en GitHibSin embargo, Varonis descubrió que su dirección de Monero está bloqueada por el grupo de minería al que está vinculada y, por lo tanto, está efectivamente deshabilitada.
Los investigadores encontraron además un shell PHP, posiblemente vinculado a Norman, que "se conecta continuamente a un servidor de comando y control (C&C)".Web shellspueden permitir el acceso remoto a un sistema en el que estén instalados.
Sin embargo, el equipo descubrió que, cuando ejecutaban el código, éste entraba en un bucle en espera de comandos y no se había recibido ninguno al momento de escribir el artículo.
El informe también señala que Norman podría haber sido creado en Francia o en un país francófono. «El archivo SFX contenía comentarios en francés, lo que indica que el autor utilizó una versión francesa de WinRAR para crearlo», afirmó Varonis.
Consejo:TNW
Gato en una cajaimagen vía Shutterstock; animación gif víaVaronis
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Bitcoin oscila bruscamente mientras Powell de la Fed equilibra cuestiones del mercado laboral e inflación
"Powell está hilando fino entre sus dos mandatos," dijo un analista.
What to know:
- Los precios de las criptomonedas fueron volátiles el miércoles, borrando gran parte de sus ganancias tras el recorte de tasas de la Reserva Federal más temprano.
- En su conferencia de prensa posterior a la reunión, el presidente de la Fed, Jerome Powell, señaló un mercado laboral que podría ser más débil de lo que se pensaba anteriormente, al tiempo que mostró cautela respecto a los avances logrados en la lucha contra la inflación.
Historias Destacadas
