Share this article
Nuovo malware miner si nasconde furtivamente quando Task Manager è aperto
Ecco "Norman", una nuova variante di malware per il mining di Monero che impiega trucchi ingegnosi per evitare di essere individuato.
Updated Sep 13, 2021, 11:20 a.m. Published Aug 15, 2019, 1:30 p.m. 2 min read
Ecco "Norman", una nuova variante di malware per il mining di Monero che impiega trucchi ingegnosi per evitare di essere individuato.
Il codice maligno eraidentificato daricercatori dell'azienda di sicurezza dati Varonis durante le indagini su un'infestazione di cripto-miner in una "azienda di medie dimensioni".
"Quasi tutti i server e le workstation sono stati infettati da malware. La maggior parte erano varianti generiche di cryptominer. Alcuni erano strumenti di password dumping, altri erano shell PHP nascoste e alcuni erano presenti da diversi anni", ha affermato l'azienda.
Tuttavia, ONE minatore si distinse: Norman, come lo soprannominò il team.
Il payload di Norman ha due funzioni principali: eseguire il suo crypto-miner basato su XMRig ed evitare il rilevamento.
Dopo l'iniezione, sovrascrive la sua voce in explorer.exe per nascondere le prove della sua presenza. Smette inoltre di far funzionare il miner quando l'utente del PC apre Task Manager (vedi immagine sotto). Si reinietta una volta che Task Manager non è in esecuzione.
L'elemento miner del malware si basa sul codice XMRig disponibile apertamenteospitato su GitHibTuttavia, Varonis ha scoperto che il suo indirizzo Monero (XMR) è bloccato dal mining pool a cui è collegato e quindi è di fatto disabilitato.
I ricercatori hanno inoltre scoperto una shell PHP, probabilmente collegata a Norman, che "si connette continuamente a un server di comando e controllo (C&C)".Conchiglie webpossono consentire l'accesso remoto al sistema su cui sono installati.
Tuttavia, il team ha scoperto che, quando eseguiva il codice, questo entrava in un ciclo di attesa di comandi e al momento della scrittura non ne era stato ricevuto nessuno.
Il rapporto nota anche che Norman potrebbe essere stato creato in Francia o in una nazione francofona. "Il file SFX aveva commenti in francese, che indicano che l'autore ha utilizzato una versione francese di WinRAR per creare il file", ha detto Varonis.
Un ringraziamento speciale:TNW
Gatto in una scatolaimmagine tramite Shutterstock; animazione gif tramiteVaronis
Mehr für Sie
L’open interest è rimasto stabile e il funding è rimasto contenuto durante la recente ondata di liquidazioni, suggerendo che i trader stavano riducendo il rischio piuttosto che capitolare, secondo Tim Sun di HashKey Research.
Was Sie wissen sollten:
- Bitcoin si è attestato intorno a 77.700 dollari dopo una breve discesa sotto i 77.000 dollari, con i dati dei derivati che suggeriscono che il movimento sia stato una scarica di leva finanziaria piuttosto che l'inizio di un calo più profondo.
- Gli analisti affermano che l’intervallo tra 75.000 e 77.000...
Storie Da Non Perdere
