Новий майнер шкідливих програм непомітно ховається, коли відкритий диспетчер завдань

Зустрічайте «Norman» – новий варіант зловмисного ПЗ для майнінгу монет, який використовує хитрі трюки, щоб не бути поміченим.

Шкідливий код був визначені дослідники з фірми безпеки даних Varonis під час розслідування зараження криптомайнерів у «компанії середнього розміру».

«Майже кожен сервер і робоча станція були заражені зловмисним програмним забезпеченням. Більшість з них були загальними варіантами криптомайнерів. Деякі були інструментами для скидання паролів, деякі були прихованими оболонками PHP, а деякі були присутні вже кілька років», — повідомили у фірмі.

Однак ONE шахтар виділявся – Норман, як його охрестила команда.

Корисне навантаження Norman виконує дві основні функції: запускати криптомайнер на основі XMRig і уникати виявлення.

Після введення він перезаписує свій запис у explorer.exe, щоб приховати докази своєї присутності. Він також припиняє роботу майнера, коли користувач ПК відкриває диспетчер завдань (див. зображення нижче). Повторне введення, коли диспетчер завдань не працює.

Елемент майнера зловмисного ПЗ заснований на відкрито доступному коді XMRig розміщений на GitHib. Однак Varonis виявив, що його адреса Monero (XMR) заблокована майнінг-пулом, з яким вона пов’язана, і, отже, фактично вимкнена.

Крім того, дослідники виявили оболонку PHP, можливо пов’язану з Norman, яка «постійно підключається до командно-контрольного (C&C) сервера». Веб-оболонки можуть дозволити віддалений доступ до системи, на якій вони встановлені.

Однак команда виявила, що під час запуску коду він увійшов у цикл очікування команд, і на момент написання жодної не було отримано.

У звіті також зазначається, що Норман міг бути створений у Франції або у франкомовній нації. «У файлі SFX були коментарі французькою мовою, які вказують на те, що автор використовував французьку версію WinRAR для створення файлу», — сказав Вароніс.

Порада капелюха: TNW

Кішка в коробці зображення через Shutterstock; gif анімація через Вароніс