任务管理器打开时,新恶意软件矿工悄悄隐藏

认识“Norman” – 一种采用诡计多端的恶意软件的新版本的monero-mining恶意软件,以避免被发现。

数据安全公司Varonis的研究人员在调查“中型公司”的加密货币矿工时,发现了恶意代码。

“几乎每个服务器和工作站都感染了恶意软件。大多数是密码学家的通用变体。有些是密码暴跌工具,有些是隐藏的PHP shell,有些已经存在了几年,“该公司表示。

然而,一名矿工脱颖而出 – 诺曼,正如团队称之为。

Norman的有效载荷有两个主要功能:执行其基于XMRig的加密货币挖矿机并避免检测。

注入后,它会覆盖explorer.exe中的条目以隐藏其存在的证据。当PC的用户打开任务管理器时,它也会停止操作矿工(见下图)。一旦任务管理器未运行,重新注入自身。

恶意软件的miner元素基于GitHib上托管的公开可用的XMRig代码。但是,Varonis发现其monero(XMR)地址被链接到的挖矿池阻止,因此被有效禁用。

研究人员进一步发现了一个可能与Norman链接的PHP shell,它“不断连接到命令和控制(C&C)服务器。”Web shell可以允许远程访问安装它们的系统。

但是,团队发现,当他们运行代码时,它进入了一个等待命令的循环,并且在编写时没有收到任何代码。

该报告还指出,诺曼可能是在法国或法语国家创建的。 “SFX文件有法语评测,表明作者使用法语版的WinRAR来创建文件,”Varonis说。

帽子提示:TNW

通过Shutterstock在盒子图像中的猫;通过Varonis的gif动画

资讯来源:由0x资讯编译自COINDESK。版权归原作者所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢