Share this article
BTC
$94,884.24
+
2.19%ETH
$1,790.11
+
1.85%USDT
$1.0004
+
0.04%XRP
$2.2057
+
1.58%BNB
$607.34
+
1.55%SOL
$154.76
+
4.29%USDC
$0.9999
+
0.02%DOGE
$0.1831
+
5.09%ADA
$0.7219
+
3.91%TRX
$0.2439
-
0.39%SUI
$3.7072
+
22.18%LINK
$15.10
+
4.22%AVAX
$22.61
+
2.15%XLM
$0.2847
+
5.54%LEO
$9.1245
-
1.06%HBAR
$0.1997
+
9.99%SHIB
$0.0₄1413
+
7.28%TON
$3.2306
+
3.53%BCH
$381.96
+
9.77%LTC
$86.69
+
6.26%Inscrever-se
- Voltar ao menu
- Voltar ao menuPreços
- Voltar ao menuPesquisar
- Voltar ao menu
- Voltar ao menu
- Voltar ao menu
- Voltar ao menu
- Voltar ao menuWebinars e Eventos
Novo Malware Miner se Esconde Sorrateiramente Quando o Gerenciador de Tarefas Está Aberto
Conheça o "Norman" – uma nova variante de malware de mineração de monero que emprega truques engenhosos para evitar ser detectado.
Conheça o "Norman" – uma nova variante de malware de mineração de monero que emprega truques engenhosos para evitar ser detectado.
O código malicioso foiidentificado porpesquisadores da empresa de segurança de dados Varonis ao investigar uma infestação de criptomineradores em uma "empresa de médio porte".
STORY CONTINUES BELOW
"Quase todos os servidores e estações de trabalho foram infectados com malware. A maioria eram variantes genéricas de criptomineradores. Alguns eram ferramentas de despejo de senhas, alguns eram shells PHP ocultos e alguns estavam presentes há vários anos", disse a empresa.
No entanto, um mineiro se destacou: Norman, como a equipe o apelidou.
A carga útil do Norman tem duas funções principais: executar seu criptominerador baseado em XMRig e evitar a detecção.
Após a injeção, ele sobrescreve sua entrada no explorer.exe para ocultar evidências de sua presença. Ele também para de operar o minerador quando o usuário do PC abre o Gerenciador de Tarefas (veja a imagem abaixo). Reinjetando-se quando o Gerenciador de Tarefas não está em execução.
O elemento minerador do malware é baseado no código XMRig disponível abertamentehospedado no GitHib. No entanto, a Varonis descobriu que seu endereço Monero (XMR) está bloqueado pelo pool de mineração ao qual ele se vincula e, portanto, está efetivamente desabilitado.
Os pesquisadores também descobriram um shell PHP, possivelmente vinculado ao Norman, que "se conecta continuamente a um servidor de comando e controle (C&C)".Conchas da webpodem permitir acesso remoto a um sistema no qual estão instalados.
No entanto, a equipe descobriu que, quando executaram o código, ele entrou em um loop aguardando comandos e nenhum havia sido recebido no momento da escrita.
O relatório também observa que Norman pode ter sido criado na França ou em uma nação de língua francesa. "O arquivo SFX tinha comentários em francês, o que indica que o autor usou uma versão francesa do WinRAR para criar o arquivo", disse Varonis.
Dica do chapéu:Novo Pacífico Norte
Gato em uma caixaimagem via Shutterstock; animação gif viaVaronis
Daniel Palmer
Anteriormente um dos Colaboradores mais antigos do CoinDesk, e agora um dos nossos editores de notícias, Daniel é autor de mais de 750 histórias para o site. Quando não está escrevendo ou editando, ele gosta de fazer cerâmica. Daniel possui pequenas quantidades de BTC e ETH (Veja: Política Editorial).
