بد افزار جدید استخراج مونرو در task manager دیده نمی شود!

شرکت امنیت سایبری وارونیس (Varonis) به تازگی یک ویروس دزدی ارز دیجیتال با نام نورمان (Norman) را شناسایی کرده است که بدون شناسایی شدن و به جا گذاشتن هیچ گونه رد پایی، از طریق کامپیوتر فرد قربانی، ارز دیجیتال مونرو استخراج کند.

در تاریخ 14 آگوست 2019، شرکت وارونیش گزارشی درباره این ویروس نورمان منتشر کرد. بر اساس این گزارش، وارونیش بیان کرده است که نورمان یکی از ویروس های دزدی ارز دیجیتال است که در حمله ای سیستم های شرکت های متوسط را هدف قرار داده و در آن ها رخنه می کند.

هکرها و مجرمان سایبری، سخت افزارهای دزدی ارز دیجیتال را به کار می گیرند، تا از قدرت محاسباتی سیستم های کاربرانی که مشکوک به کلاهبرداری از سیستم هایشان نیستند، در زمینه استخراج ارزهای دیجیتال، همچون ارز دیجیتال مبتنی بر امنیت مونرو استفاده کنند.

به طور خا، نورمان یک استخراج کننده یا ماینر ارزهای دیجیتال مبتنی بر XMRig است که در گزارش از آن به عنوان یک ماینر با عملکرد بسیار خوب برای ارز دیجیتال مونرو یاد شده است. یکی از ویژگی های اصلی نورمان این است که هر زمان که کاربر سیستم، Task Manager یا مدیریت برنامه ها را باز کند، این ویروس فرآیند استخراج ارز دیجیتال را متوقف می سازد. سپس، پس از این که مدیریت برنامه ها بسته شود، نورمان با یک فرآیند، شروع به کار دوباره ماینر را رقم می زند.

مبدا ویروس نورمان

محققان در شرکت وارونیس به این نتیجه رسیده اند که نورمان بر اساس زبان برنامه نویسی PHP نوشته شده است و برای محافظت از خود و مبهم ماندن، از Zend Guard استفاده می کند. علاوه بر این، این محققان نتیجه گرفته اند که مبدا نورمان یک کشور فرانسوی زبان می باشد، چرا که متغیرها و دستور العمل های فرانسوی در کد این ویروس یافت می شوند.

علاوه بر این، در میان آرشیو فایل نصب خودکار (SFX) این ویروس، محتواهایی به زبان فرانسوی یافت می شود. بنابر گفته این گزارش، این امر حاکی از آن است که سازنده نورمان از نسخه فرانسوی WinRAR برای ایجاد فابل نصب خودکار یا SFX این ویروس استفاده نموده است.

فراتر از دزدی ارزهای دیجیتال

یک شرکت دیگر که در زمینه امنیت سایبری فعال می باشد، در هفته پیش، خبری مبنی بر کشف یک نسخه دیگر از بدافزار استخراج مونرو را منتشر کرده بود. این شرکت که کربن بلک (Carbon Black) نام دارد، بیان کرده است که نوعی بدافزار به نام اسمومینرو (Smominru) وجود دارد، که علاوه بر سرقت داده های کاربران و فروش آن ها در دارک وب یا وب سیاه، از سخت افزارشان برای استخراج استفاده می‌کند.

این شرکت بر این عقیده است که داده های دزدیده شده، ممکن است توسط هکرها در دارک وب یا وب سیاه فروخته شوند. در این گزارش، کربن بلک می نویسد:

این یافته نشان از روندی بزرگتر در خصوص بدافزارهای حوزه سرقت کالا و تغییرات آن ها برای رسیدن به اهدافی تاریک تر دارد که موجب می شود متخصصین حوزه امنیت سایبری، روش های تازه ای در خصوص طبقه بندی، تحقیق و حفاظت در مقابل آن ها پیش بگیرند.