BTC
$95,579.65
+
2.68%
ETH
$1,810.20
+
3.02%
USDT
$1.0006
+
0.03%
XRP
$2.2092
+
0.32%
BNB
$606.86
+
1.62%
SOL
$153.03
+
1.48%
USDC
$0.9999
+
0.00%
DOGE
$0.1847
+
3.09%
ADA
$0.7259
+
0.39%
TRX
$0.2437
-
1.26%
SUI
$3.6447
+
11.05%
LINK
$15.18
+
2.36%
AVAX
$22.68
+
2.53%
XLM
$0.2876
+
3.48%
HBAR
$0.1995
+
7.92%
SHIB
$0.0₄1409
+
5.05%
LEO
$8.9100
-
2.67%
TON
$3.2478
+
3.20%
BCH
$378.59
+
8.16%
LTC
$86.94
+
4.53%
Inscribirse
Seleccionar idioma
Español esУкраїнська ukEnglish enFrançais frItaliano itРусский ruPortuguês pt-brFilipino fil
Logo
Mercados
Compartir este artículo

Nuevo minero de malware se oculta sigilosamente cuando el Administrador de tareas está abierto

Conozca "Norman", una nueva variante de malware de minería de monero que utiliza trucos astutos para evitar ser detectado.

Por Daniel Palmer
Actualizado 13 sept 2021, 11:20 a. .m.. Publicado 15 ago 2019, 1:30 p. .m.. Traducido por IA
cat in a box

Conozca "Norman", una nueva variante de malware de minería de monero que utiliza trucos astutos para evitar ser detectado.

El código malicioso fueidentificado porInvestigadores de la empresa de seguridad de datos Varonis cuando investigaban una plaga de mineros de criptomonedas en una "empresa de tamaño mediano".

CONTINÚA MÁS ABAJO
No te pierdas otra historia.Suscríbete al boletín de Crypto Long & Short hoy. Ver Todos Los Boletines
Al registrarse, recibirá correos electrónicos sobre los productos de CoinDesk y acepta nuestros condiciones de uso y política de privacidad.

Casi todos los servidores y estaciones de trabajo estaban infectados con malware. La mayoría eran variantes genéricas de criptomineros. Algunos eran herramientas de volcado de contraseñas, otros eran shells PHP ocultos, y algunos llevaban varios años presentes, afirmó la empresa.

Sin embargo, un minero destacó: Norman, como lo apodó el equipo.

La carga útil de Norman tiene dos funciones principales: ejecutar su criptominero basado en XMRig y evitar la detección.

Tras la inyección, sobrescribe su entrada en explorer.exe para ocultar su presencia. Además, detiene el minero cuando el usuario del PC abre el Administrador de tareas (ver imagen a continuación). Se reinyecta cuando el Administrador de tareas deja de ejecutarse.

normando

El elemento minero del malware se basa en el código XMRig disponible abiertamentealojado en GitHibSin embargo, Varonis descubrió que su dirección de Monero (XMR) está bloqueada por el grupo de minería al que está vinculada y, por lo tanto, está efectivamente deshabilitada.

Los investigadores encontraron además un shell PHP, posiblemente vinculado a Norman, que "se conecta continuamente a un servidor de comando y control (C&C)".Web shellspueden permitir el acceso remoto a un sistema en el que estén instalados.

Sin embargo, el equipo descubrió que, cuando ejecutaban el código, éste entraba en un bucle en espera de comandos y no se había recibido ninguno al momento de escribir el artículo.

El informe también señala que Norman podría haber sido creado en Francia o en un país francófono. «El archivo SFX contenía comentarios en francés, lo que indica que el autor utilizó una versión francesa de WinRAR para crearlo», afirmó Varonis.

Consejo:TNW

Gato en una cajaimagen vía Shutterstock; animación gif víaVaronis

SecurityMalwareMiningNewsMonero
Daniel Palmer

Daniel, ONE de los Colaboradores más veteranos de CoinDesk y ahora ONE de nuestros editores de noticias, ha escrito más de 750 artículos para el sitio. Cuando no escribe ni edita, le gusta hacer cerámica. Daniel tiene pequeñas cantidades de BTC y ETH (Ver: Regulación editorial).

Picture of CoinDesk author Daniel Palmer