Bu makaleyi paylaş
Un nouveau mineur de logiciels malveillants se cache furtivement lorsque le Gestionnaire des tâches est ouvert
Découvrez « Norman », une nouvelle variante de malware de minage de monero qui utilise des astuces astucieuses pour éviter d'être repéré.
Yazan Daniel Palmer
Découvrez « Norman », une nouvelle variante de malware de minage de monero qui utilise des astuces astucieuses pour éviter d'être repéré.
Le code malveillant étaitidentifié pardes chercheurs de la société de sécurité des données Varonis lors d'une enquête sur une infestation de crypto-mineurs dans une « entreprise de taille moyenne ».
« Presque tous les serveurs et postes de travail étaient infectés par des logiciels malveillants. La plupart étaient des variantes génériques de cryptomineurs. Certains étaient des outils de vidage de mots de passe, d'autres des shells PHP cachés, et certains étaient présents depuis plusieurs années », a déclaré l'entreprise.
Cependant, un mineur s’est démarqué : Norman, comme l’équipe l’a surnommé.
La charge utile de Norman a deux fonctions principales : exécuter son crypto-mineur basé sur XMRig et éviter la détection.
Après injection, il écrase son entrée dans explorer.exe pour dissimuler sa présence. Il arrête également le mineur lorsque l'utilisateur ouvre le Gestionnaire des tâches (voir image ci-dessous). Il se réinjecte lorsque le Gestionnaire des tâches cesse de fonctionner.
L'élément mineur du malware est basé sur le code XMRig disponible ouvertementhébergé sur GitHibCependant, Varonis a découvert que son adresse Monero (XMR) est bloquée par le pool de minage auquel elle est liée et est donc effectivement désactivée.
Les chercheurs ont également découvert un shell PHP, probablement lié à Norman, qui « se connecte en permanence à un serveur de commande et de contrôle (C&C) ».Shells Webpeuvent permettre l'accès à distance à un système sur lequel ils sont installés.
Cependant, l’équipe a constaté que, lorsqu’elle a exécuté le code, il est entré dans une boucle en attente de commandes et aucune n’avait été reçue au moment de la rédaction.
Le rapport indique également que Norman pourrait avoir été créé en France ou dans un pays francophone. « Le fichier SFX comportait des commentaires en français, ce qui indique que l'auteur a utilisé une version française de WinRAR pour créer le fichier », a déclaré Varonis.
Astuce du chapeau :TNW
Chat dans une boîteimage via Shutterstock ; animation gif via Varonis
Больше для вас
Une vente massive d'un jeton crypto SpaceX a anéanti des centaines d'investisseurs particuliers en 30 minutes, car le marché ne disposait pas de liquidités suffisantes pour absorber le choc.
Что нужно знать:
- Une chute éclair violente de 45 % a effacé des centaines de traders particuliers lorsqu’un contrat crypto lié à SpaceX a dégringolé en seulement 30 minutes, éliminant 1,51 million de dollars de valeur et prenant les petits investisseurs totalement au dépourvu.
- Le marché était trop peu liquide pour absorber une...
À la une
