Share this article
BTC
$95,564.35
+
2.68%ETH
$1,810.06
+
3.01%USDT
$1.0006
+
0.03%XRP
$2.2093
+
0.31%BNB
$606.91
+
1.66%SOL
$153.06
+
1.42%USDC
$0.9999
-
0.00%DOGE
$0.1847
+
3.10%ADA
$0.7258
+
0.26%TRX
$0.2437
-
1.30%SUI
$3.6457
+
10.76%LINK
$15.18
+
2.32%AVAX
$22.68
+
2.48%XLM
$0.2877
+
3.39%HBAR
$0.1995
+
7.78%SHIB
$0.0₄1409
+
4.98%LEO
$8.9106
-
2.65%TON
$3.2474
+
3.15%BCH
$378.87
+
8.10%LTC
$86.90
+
4.51%S'inscrire
- Retour au menu
- Retour au menuTarifs
- Retour au menuRecherche
- Retour au menu
- Retour au menu
- Retour au menu
- Retour au menu
- Retour au menuWebinaires et Événements
Un nouveau mineur de logiciels malveillants se cache furtivement lorsque le Gestionnaire des tâches est ouvert
Découvrez « Norman », une nouvelle variante de malware de minage de monero qui utilise des astuces astucieuses pour éviter d'être repéré.
Découvrez « Norman », une nouvelle variante de malware de minage de monero qui utilise des astuces astucieuses pour éviter d'être repéré.
Le code malveillant étaitidentifié pardes chercheurs de la société de sécurité des données Varonis lors d'une enquête sur une infestation de crypto-mineurs dans une « entreprise de taille moyenne ».
STORY CONTINUES BELOW
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
« Presque tous les serveurs et postes de travail étaient infectés par des logiciels malveillants. La plupart étaient des variantes génériques de cryptomineurs. Certains étaient des outils de vidage de mots de passe, d'autres des shells PHP cachés, et certains étaient présents depuis plusieurs années », a déclaré l'entreprise.
Cependant, un mineur s’est démarqué : Norman, comme l’équipe l’a surnommé.
La charge utile de Norman a deux fonctions principales : exécuter son crypto-mineur basé sur XMRig et éviter la détection.
Après injection, il écrase son entrée dans explorer.exe pour dissimuler sa présence. Il arrête également le mineur lorsque l'utilisateur ouvre le Gestionnaire des tâches (voir image ci-dessous). Il se réinjecte lorsque le Gestionnaire des tâches cesse de fonctionner.
L'élément mineur du malware est basé sur le code XMRig disponible ouvertementhébergé sur GitHibCependant, Varonis a découvert que son adresse Monero (XMR) est bloquée par le pool de minage auquel elle est liée et est donc effectivement désactivée.
Les chercheurs ont également découvert un shell PHP, probablement lié à Norman, qui « se connecte en permanence à un serveur de commande et de contrôle (C&C) ».Shells Webpeuvent permettre l'accès à distance à un système sur lequel ils sont installés.
Cependant, l’équipe a constaté que, lorsqu’elle a exécuté le code, il est entré dans une boucle en attente de commandes et aucune n’avait été reçue au moment de la rédaction.
Le rapport indique également que Norman pourrait avoir été créé en France ou dans un pays francophone. « Le fichier SFX comportait des commentaires en français, ce qui indique que l'auteur a utilisé une version française de WinRAR pour créer le fichier », a déclaré Varonis.
Astuce du chapeau :TNW
Chat dans une boîteimage via Shutterstock ; animation gif via Varonis
Daniel Palmer
ONE La rédaction de CoinDesk depuis le plus longtemps, et aujourd'hui rédacteur en chef, Daniel a rédigé plus de 750 articles pour le site. Lorsqu'il n'écrit pas ou ne révise pas, il aime fabriquer de la céramique. Daniel détient de petites quantités de BTC et ETH (Voir : Juridique éditoriale).
