Firma Varonis zajmująca się bezpieczeństwem odkryła nową odmianę złośliwego oprogramowania kryptograficznego o nazwie Norman. Wykorzystuje ono zaawansowane techniki w celu uniknięcia wykrycia. Cryptojacking jest coraz bardziej popularną klasą złośliwego oprogramowania, które wydobywa waluty kryptograficzne na urządzeniach bez zezwolenia właścicieli. Według naukowców Norman ukrywa się, gdy otwieramy menedżer zadań w systemie Windows, aby sprawdzić, dlaczego nasz komputer działa wolno. Po zamknięciu menedżera zadań złośliwe oprogramowanie kryptograficzne zostaje ponownie uruchomione, zgodnie z raportem brytyjskiej publikacji technicznej Verdict.
Norman wydobywa kryptowaluty bez naszej zgody
Złośliwe oprogramowanie jest najpierw wdrażane poprzez svchost.exe, proces Windows używany do wykonywania różnych operacji. Wstrzykuje ładunek Norman.dll, który zawiera koparkę, a następnie wykorzystuje zaawansowane techniki zaciemnienia, aby uniknąć wykrycia podczas eksploatacji waluty kryptograficznej Monero. Jest ono jedną z walut kryptograficznych z największymi gwarancjami prywatności, które w tym przypadku mogą również pomóc w ukryciu, jeśli wydobyte monety opuszczają komputer użytkownika.
Norman wydaje się być bardziej skomplikowany niż przeciętny kryptominer. Próbuje się ukryć przed analizą i używa zaawansowanych technik, aby się dalej ukrywać. To nie jest typowe zachowanie programów tego typu. Dodatkowo nie ma żadnych śladów jego pochodzenia.
— Stwierdził jeden z pracowników Varonis
Zobacz też: Jak oglądać mecze w telefonie live — za darmo
Badacze bezpieczeństwa Varonis nie mogli znaleźć zbyt wielu szczegółów na temat pochodzenia złośliwego oprogramowania kryptograficznego Norman, z wyjątkiem komentarzy do kodu napisanych w języku francuskim. Może to wskazywać na lokalizację twórcy złośliwego oprogramowania lub może to być kolejna technika zaciemnienia, tym razem wdrożona w celu ukrycia tożsamości twórcy złośliwego oprogramowania, a nie lokalizacji złośliwego oprogramowania na komputerze użytkownika. Varonis nie wierzy jednak, że za malware Norman stoi cała grupa. Zamiast tego uważa, że jest znacznie bardziej prawdopodobne, że złośliwe oprogramowanie kryptograficzne zostało opracowane przez jedną osobę. Oczywiście musiał to być ktoś, o wyższych niż przeciętnie umiejętnościach tworzenia złośliwego oprogramowania.
Źródło: Tomshardware