Merkado
Share this article

Palihim na Nagtatago ang Bagong Miner ng Malware Kapag Bukas ang Task Manager

Kilalanin ang "Norman" – isang bagong variant ng monero-mining malware na gumagamit ng mga mapanlinlang na trick upang maiwasang makita.

By Daniel Palmer
Updated Sep 13, 2021, 11:20 a.m. Published Aug 15, 2019, 1:30 p.m.
cat in a box

Kilalanin si "Norman" – isang bagong variant ng monero-mining malware na gumagamit ng mga mapanlinlang na trick upang maiwasang makita.

Ang malisyosong code ay kinilala ni mga mananaliksik sa data security firm na Varonis nang nag-iimbestiga sa isang crypto-miner infestation sa isang "mid-size na kumpanya."

Ipagpatuloy Ang Kwento Sa Baba
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and privacy policy.

"Halos lahat ng server at workstation ay nahawaan ng malware. Karamihan ay mga generic na variant ng mga cryptominer. Ang ilan ay mga tool sa paglalaglag ng password, ang ilan ay nakatago na mga shell ng PHP, at ang ilan ay naroroon sa loob ng ilang taon," sabi ng firm.

Gayunpaman, ang ONE minero ay namumukod-tangi - si Norman, bilang tinawag ito ng koponan.

Ang payload ni Norman ay may dalawang pangunahing pag-andar: isagawa ang XMRig-based na crypto-miner nito at maiwasan ang pag-detect.

Pagkatapos ng iniksyon, ino-overwrite nito ang pagpasok nito sa explorer.exe para itago ang ebidensya ng presensya nito. Huminto din ito sa pagpapatakbo ng minero kapag binuksan ng user ng PC ang Task Manager (tingnan ang larawan sa ibaba). Muling i-inject ang sarili sa sandaling hindi tumatakbo ang Task Manager.

norman

Ang elemento ng minero ng malware ay batay sa bukas na magagamit na XMRig code naka-host sa GitHib. Gayunpaman, nalaman ni Varonis na ang Monero XMR$443.63 na address nito ay na-block ng mining pool kung saan ito naka-link, at samakatuwid ay epektibong hindi pinagana.

Ang mga mananaliksik ay higit pang nakahanap ng PHP shell, posibleng naka-link kay Norman, na "patuloy na kumokonekta sa isang command-and-control (C&C) server." Mga web shell maaaring payagan ang malayuang pag-access sa isang system kung saan naka-install ang mga ito.

Gayunpaman, nalaman ng team na, nang patakbuhin nila ang code, pumasok ito sa isang loop na naghihintay ng mga command at walang natanggap sa oras ng pagsulat.

Ang ulat ay nagsasaad din na si Norman ay maaaring nilikha sa France o isang bansang nagsasalita ng Pranses. "Ang SFX file ay may mga komento sa Pranses, na nagpapahiwatig na ang may-akda ay gumamit ng Pranses na bersyon ng WinRAR upang lumikha ng file," sabi ni Varonis.

Tip ng sumbrero: TNW

Pusa sa isang kahon larawan sa pamamagitan ng Shutterstock; gif animation sa pamamagitan ng Varonis

SecurityMalwareMiningNewsMonero