Una nuova ricerca condotta da Varonis Security ha rivelato come un nuovo malware che mina la crypto Monero (XMR) riesca a nascondersi anche dalla lista del task manager. Si tratta di Norman ed è stato scoperto casualmente durante un audit per una società.
Secondo il report, durante l’audit è stato riscontrato un comportamento anomalo: dopo che si lanciava il famoso programma task manager per controllare i processi aperti il malware si autodisattivava, risultando praticamente invisibile.
Nel dettaglio il malware, scritto in .NET ed offuscato tramite Agile, utilizzava dei pacchetti di installazione creati con Nullsoft Scriptable Install System, mentre il processo utilizza svchost per lanciare il malware.
Interessante anche come utilizzi un sistema di server remoto usando il codice PHP: questo ha permesso di risalire alle sue origini in Francia o almeno un Paese dove si parla il francese, perché sono state trovate frasi proprio in questa lingua.
Come detto, questo malware Norman è basato sul crypto miner di XMRig e permette quindi di minare Monero (XMR); famosa per la sua elevata anonimità e quindi perfetta per attività di questo tipo.
Purtroppo non è il primo caso di malware di questo tipo: recentemente un’altra evoluzione del virus, l’access mining, è stata impiegata sia per minare Monero che per installare backdoor nei terminali infettati e rivendere le credenziali di accesso.
Come consigliato anche nel report, è sempre meglio tenere sempre aggiornati i propri software, dato che in molti casi si sfruttano bug noti, monitorare l’accesso ai dati e tenere conto delle anomalie negli stessi. Infine, altro consiglio è quello di controllare il traffico della rete. Utilizzando un firewall o un proxy, è possibile rilevare e bloccare la comunicazioni malevole prevenendo l’esecuzione di comandi dannosi per il sistema.