Questo inquietante malware Monero-mining attende di essere controllato da remoto


I ricercatori di cybersecurity hanno scoperto un nuovo misterioso ceppo di malware di mining di criptovaluta (cryptomining) che impiega potenti tecniche per evitare il rilevamento e l'analisi.

La società di software Varonis ha stabilito che il malware si basa sul software di mining Monero XMRig, che è open source e ospitato su GitHub. Hard Fork ha precedentemente segnalato altre notevoli istanze di malware crittografico che utilizzano XMRig.

Ad oggi, Norman ha colpito almeno un'azienda di "medie dimensioni", infettando quasi tutte le workstation e tutti i server della sua rete.

“La maggior parte erano varianti generiche di cryptominer. Alcuni erano strumenti per il dumping delle password, altri erano shell PHP nascoste e alcuni erano presenti da diversi anni ”, ha scritto Varonis. “Tra tutti i campioni di cryptominer che abbiamo trovato, uno si è distinto. L'abbiamo chiamato "Norman". "

Norman è una varietà di malware particolarmente furba

Gli analisti hanno determinato che questa varietà di malware si sviluppa in tre fasi distinte: esecuzione, iniezione e infine, mining di criptovaluta.

Una volta che un target esegue il file dannoso, il virus procederà in modo diverso a seconda del tipo di bit del sistema operativo della macchina (32-bit o 64-bit), ma generalmente svolge due funzioni: estrarre Monero ed evitare il rilevamento.

In particolare, Norman arresta automaticamente i processi dannosi quando l'utente apre Task Manager di Windows. Subdolo.