Эксперты рассказали о скрытом майнере, который невозможно обнаружить

Компания Varonis, которая специализируется на безопасности в интернете, обнаружила новую программу для скрытого майнинга. Названный человеческим именем скрипт Norman предназначен для скрытой добычи криптовалюты Monero XMR. Согласно данным исследователей, в первую очередь вредоносное ПО нацелено на заражение компьютерных сетей в компаниях среднего размера. При этом программа отличается от аналогичных тем, что её невозможно обнаружить.

Подвид вирусов для незаконной деятельности в виде скрытого майнинга уже давно получил свой индивидуальный термин — криптоджекинг. Хакеры и киберпреступники внедряют специальные скрипты и вредоносные программы в незащищённые веб-сайты, компьютерные сети или же отдельные девайсы, заставляя устройства жертв майнить криптовалюты.

По сути Norman представляет собой скрытый майнер на основе XMRig, о котором мы уже не раз упоминали в предыдущих статьях. В документах Varonis он описывается как «высокопроизводительный майнер криптовалюты Monero». Однако хакеры становятся всё проворнее, а их разработки всё хитрее. Например, Norman умеет останавливать добычу монет и скрывать любые следы своего присутствия, как только пользователь открывает диспетчер задач. После закрытия диспетчера, Norman перезапускается и продолжает работать.

Диспетчер задач показывает процессы, которые нагружают процессор. Обычно скрытые майнеры перетягивают на себя производительность компьютера и тратят вплоть до 99 процентов ресурсов, поэтому их легко было обнаружить. Но с Norman такая схема не пройдёт.


По предположению экспертов, у вируса французские корни, так как в переменных и функциях внутри кода программы присутствуют французские слова. При этом в самораспаковывающемся архиве тоже присутствуют комментарии на французском языке. Как утверждают в Varonis, это говорит о том, что создатели вируса использовали французскую версию WinRAR при архивировании скрипта.

Отсюда делаем важный промежуточный вывод: не загружайте подозрительные архивы без лишней необходимости. И желательно не открывайте их.


Криптоджекинг пускает корни

К слову, компания Carbon Black, которая также специализируется на кибербезопасности, на прошлой неделе представила обновлённые данные по поводу ещё одного скрипта для майнинга Monero. Как выяснили эксперты, вирус под названием Smominru не только добывает злоумышленникам криптовалюту процессором заражённого устройства, но и крадёт данные пользователя.

Вот цитата из отчёта сотрудников.

Это может указывать на то, что тенденция распространения программ для скрытого майнинга несёт в себе гораздо большую угрозу. Сейчас они научились маскироваться, а скоро каждый скрипт будет уметь воровать конфиденциальные данные пользователей. Соответственно, криптоджекинг со временем может переквалифицироваться из мелкой неприятности в большую беду, ведь кража чувствительных данных приведёт к очень серьёзным последствиям как для жертвы, так и для злоумышленников.


Источник: 2Биткоина