Norman

Existem muitas linhagens diferentes de mineradores de criptografia no mundo selvagem da Internet. Mineradores de criptografia diferentes têm como alvo diferentes moedas criptográficas, mas parece que o mais popular dentre eles é a moeda criptográfica Monero. Recentemente, especialistas em malware foram capazes de detectar um novo minerador de criptografia à espreita na Web, atraindo-o com um honeypot. A maioria dos mineradores de moedas criptografadas é bastante parecida entre si, mas o caso de hoje é um pouco diferente.

Ataques em Três Etapas

Esse novo crypto-miner foi nomeado Norman, pois parece que existem alguns arquivos com esse nome. O cripto-mineiro Norman é um mestre do disfarce e é capaz de evitar a detecção com muita eficiência. Esta impressionante ferramenta de mineração de criptografia realiza seu ataque em três etapas. Esses estágios podem ser um pouco flexíveis, dependendo do ambiente em que a mineradora Norman está operando. Para evitar levantar suspeitas, o minerador de criptografia normando é capaz de acompanhar a atividade da vítima e interrompe a ação se o usuário executar determinadas tarefas. Os três estágios do ataque são os seguintes

• Executando o minerador Norman - Os arquivos executáveis usados pelo minerador são compactados para parecer um instalador legítimo do Windows. Isso pode significar que os autores estão usando truques de engenharia social para convencer os usuários a instalar o software prejudicial sem saber ou contam com a implantação manual. Os instaladores são programados para liberar os arquivos em uma determinada ordem.
• Injeção do minerador Norman - O minerador de criptografia Norman usará diretórios diferentes para diminuir sua carga, dependendo do sistema operacional do host, alguns dos quais podem ser o 'notepad.exe' ',' explorer.exe ',' svchost.exe ' e 'wuapp.exe'.
• Moeda Digital de Mineração - O minerador depende de uma variante modificada do XMRig, um minerador de código aberto e mineração de moedas criptográficas Monero. Caso o usuário inicie o Gerenciador de Tarefas, interromperá a atividade para evitar ser detectado pela vítima. Uma vez encerrado este serviço, a mineradora normanda continuará sua operação.

Os Computadores Infectados pelo Norman também Tinham um Shell PHP de Backdoor

Os computadores infectados pelo mineiro Norman também pareciam ter um shell de backdoor implantado neles - o agente de ameaças provavelmente será responsável por ambos, e o objetivo do shell baseado em PHP é permitir que eles executem tarefas adicionais no computador comprometido. Isso significa que os operadores do mineiro Norman podem ter a intenção de infectar os hosts com malware adicional ou aproveitaram uma vulnerabilidade para carregar o minerador de criptografia Norman no sistema comprometido.

É crucial ter um aplicativo anti-malware legítimo no seu sistema que o proteja de pragas desagradáveis como o mineiro normando.