Compartilhe este artigo
Novo Malware Miner se Esconde Sorrateiramente Quando o Gerenciador de Tarefas Está Aberto
Conheça o "Norman" – uma nova variante de malware de mineração de monero que emprega truques engenhosos para evitar ser detectado.
Por Daniel Palmer
Torne-nos preferidos no Google
Conheça o "Norman" – uma nova variante de malware de mineração de monero que emprega truques engenhosos para evitar ser detectado.
O código malicioso foiidentificado porpesquisadores da empresa de segurança de dados Varonis ao investigar uma infestação de criptomineradores em uma "empresa de médio porte".
A História Continua abaixo
Não perca outra história.Inscreva-se na Newsletter Crypto Daybook Americas hoje. Ver Todas as Newsletters
"Quase todos os servidores e estações de trabalho foram infectados com malware. A maioria eram variantes genéricas de criptomineradores. Alguns eram ferramentas de despejo de senhas, alguns eram shells PHP ocultos e alguns estavam presentes há vários anos", disse a empresa.
No entanto, um mineiro se destacou: Norman, como a equipe o apelidou.
A carga útil do Norman tem duas funções principais: executar seu criptominerador baseado em XMRig e evitar a detecção.
Após a injeção, ele sobrescreve sua entrada no explorer.exe para ocultar evidências de sua presença. Ele também para de operar o minerador quando o usuário do PC abre o Gerenciador de Tarefas (veja a imagem abaixo). Reinjetando-se quando o Gerenciador de Tarefas não está em execução.
O elemento minerador do malware é baseado no código XMRig disponível abertamentehospedado no GitHib. No entanto, a Varonis descobriu que seu endereço Monero está bloqueado pelo pool de mineração ao qual ele se vincula e, portanto, está efetivamente desabilitado.
Os pesquisadores também descobriram um shell PHP, possivelmente vinculado ao Norman, que "se conecta continuamente a um servidor de comando e controle (C&C)".Conchas da webpodem permitir acesso remoto a um sistema no qual estão instalados.
No entanto, a equipe descobriu que, quando executaram o código, ele entrou em um loop aguardando comandos e nenhum havia sido recebido no momento da escrita.
O relatório também observa que Norman pode ter sido criado na França ou em uma nação de língua francesa. "O arquivo SFX tinha comentários em francês, o que indica que o autor usou uma versão francesa do WinRAR para criar o arquivo", disse Varonis.
Dica do chapéu:Novo Pacífico Norte
Gato em uma caixaimagem via Shutterstock; animação gif viaVaronis
