Condividi questo articolo
BTC
$83,659.25
-
1.11%ETH
$1,589.74
-
2.13%USDT
$0.9999
+
0.01%XRP
$2.0933
-
1.88%BNB
$579.86
-
0.78%SOL
$126.52
-
2.29%USDC
$1.0000
+
0.00%TRX
$0.2506
-
0.64%DOGE
$0.1537
-
3.19%ADA
$0.6087
-
4.29%LEO
$9.3170
-
0.90%LINK
$12.25
-
3.14%AVAX
$19.01
-
5.50%XLM
$0.2361
-
1.68%TON
$2.8537
-
1.31%SHIB
$0.0₄1172
-
2.61%SUI
$2.0957
-
4.52%HBAR
$0.1568
-
5.10%BCH
$319.62
-
1.34%LTC
$75.58
-
2.04%Iscrizione
- Torna al menu
- Torna al menuPrezzi
- Torna al menuRicerca
- Torna al menuConsenso
- Torna al menu
- Torna al menu
- Torna al menu
- Torna al menuWebinar ed Eventi
Nuovo malware miner si nasconde furtivamente quando Task Manager è aperto
Ecco "Norman", una nuova variante di malware per il mining di Monero che impiega trucchi ingegnosi per evitare di essere individuato.
Ecco "Norman", una nuova variante di malware per il mining di Monero che impiega trucchi ingegnosi per evitare di essere individuato.
Il codice maligno eraidentificato daricercatori dell'azienda di sicurezza dati Varonis durante le indagini su un'infestazione di cripto-miner in una "azienda di medie dimensioni".
La storia continua sotto
Non perderti un'altra storia.Iscriviti alla Newsletter Crypto Long & Short oggi. Vedi Tutte le Newsletter
"Quasi tutti i server e le workstation sono stati infettati da malware. La maggior parte erano varianti generiche di cryptominer. Alcuni erano strumenti di password dumping, altri erano shell PHP nascoste e alcuni erano presenti da diversi anni", ha affermato l'azienda.
Tuttavia, ONE minatore si distinse: Norman, come lo soprannominò il team.
Il payload di Norman ha due funzioni principali: eseguire il suo crypto-miner basato su XMRig ed evitare il rilevamento.
Dopo l'iniezione, sovrascrive la sua voce in explorer.exe per nascondere le prove della sua presenza. Smette inoltre di far funzionare il miner quando l'utente del PC apre Task Manager (vedi immagine sotto). Si reinietta una volta che Task Manager non è in esecuzione.
L'elemento miner del malware si basa sul codice XMRig disponibile apertamenteospitato su GitHibTuttavia, Varonis ha scoperto che il suo indirizzo Monero (XMR) è bloccato dal mining pool a cui è collegato e quindi è di fatto disabilitato.
I ricercatori hanno inoltre scoperto una shell PHP, probabilmente collegata a Norman, che "si connette continuamente a un server di comando e controllo (C&C)".Conchiglie webpossono consentire l'accesso remoto al sistema su cui sono installati.
Tuttavia, il team ha scoperto che, quando eseguiva il codice, questo entrava in un ciclo di attesa di comandi e al momento della scrittura non ne era stato ricevuto nessuno.
Il rapporto nota anche che Norman potrebbe essere stato creato in Francia o in una nazione francofona. "Il file SFX aveva commenti in francese, che indicano che l'autore ha utilizzato una versione francese di WinRAR per creare il file", ha detto Varonis.
Un ringraziamento speciale:TNW
Gatto in una scatolaimmagine tramite Shutterstock; animazione gif tramiteVaronis
Daniel Palmer
In precedenza ONE dei Collaboratori più longevi di CoinDesk, e ora ONE dei nostri redattori di notizie, Daniel ha scritto oltre 750 storie per il sito. Quando non scrive o non fa editing, gli piace creare ceramiche. Daniel detiene piccole quantità di BTC ed ETH (Vedi: Politiche editoriale).
