Исследователи обнаружили новый вирус-майнер, скрывающий свое присутствие в системе

Вредоносный код был обнаружен исследователями из фирмы по защите данных Varonis при аудите компании, которая подверглась атаке.

«Почти каждый сервер и рабочая станция были заражены вредоносным ПО. Большинство из них были родовыми вариантами криптоминеров. Некоторые были инструментами для сброса паролей, некоторые были скрытыми оболочками PHP, а некоторые скрывались в системе в течение нескольких лет», - сказали в компании.

Однако выделялся один хитрый вирус - Norman, как его назвала команда.

Norman имеет две основные функции: запускать крипто-майнер на основе XMRig и избегать обнаружения.

После внедрения он перезаписывает свою запись в explorer.exe, чтобы скрыть доказательства его присутствия. Он также прекращает работу майнера, когда пользователь ПК открывает диспетчер задач (см. Изображение ниже). 

Элемент вредоносного ПО основан на общедоступном коде XMRig, размещенном на GitHib. Однако исследователи Varonis обнаружили, что его моно-адрес (XMR) заблокирован пулом майнинга, с которым он связан. Следовательно, фактически отключен.

Исследователи также обнаружили, что оболочка PHP, возможно связанная с Norman,  постоянно подключается к серверу командования и управления (C&C). Веб-оболочки могут предоставлять удаленный доступ к системе, на которой они установлены.

Тем не менее, команда обнаружила, что когда они запускали код, он входил в цикл в ожидании команд, и ни один из них не был получен во время написания.

В отчете также отмечается, что Norman, возможно, был создан во Франции или другой франкоговорящей стране: