Ez a kísérteties Monero-bányász malware távoli irányításra vár


A kiberbiztonsági kutatók felfedeztek egy rejtélyes új kriptovaluta-bányász (kriptopromináló) rosszindulatú programot, amely hatékony technikákat alkalmaz az észlelés és az elemzés elkerülésére.

A Varonis szoftvercég megállapította, hogy a rosszindulatú szoftverek a Monero bányászati ​​szoftveren, az XMRig-en alapulnak, amely nyílt forráskódú és a GitHub-on található. A Hard Fork korábban beszámolt a kriptoprintatív malware más jelentős eseményeiről, amelyek XMRig-et használnak.

A mai napig Norman legalább egy „közepes méretű” vállalatot sújtott, megfertőzve szinte minden munkaállomást és szervert a hálózatán.

„A legtöbb kriptoprinák általános variáns volt. Néhányuk jelszó dömping eszköz volt, mások rejtett PHP héjak voltak, mások már évek óta jelen voltak ”- írta Varonis. „A talált kriptoprin-minták közül az egyik kitűnő. "Normannak" neveztük. "

A Norman egy különösen ravasz rosszindulatú program

Az elemzők meghatározták, hogy ez a rosszindulatú program-törzs három külön szakaszban telepíti magát: végrehajtás, befecskendezés, majd végül a kriptovaluta bányászat.

Ha a célpont végrehajtja a rosszindulatú fájlt, a vírus a gép operációs rendszer bitjétől függően (32-bites vagy 64-bites) eltérően működik, de általában két funkciót szolgál: a Monero enyém és az észlelés elkerülése érdekében.

Különösen a Norman automatikusan leállítja a rosszindulatú folyamatokat, amikor a felhasználó megnyitja a Windows Feladatkezelőt. Alattomos.