A háttérben kriptovalutát bányászó algoritmusok 2017 folyamán igen népszerűek voltak, ugyanis a kriptovaluta-árfolyamok szárnyaltak, ám 2018 folyamán meredek esés indult meg a piacon, így szépen lassan ezek az algoritmusok is elkezdtek eltűnni. A „Cryptojacking” néven emlegetett támadásforma lényege, hogy a felhasználó tudta és beleegyezése nélkül használja az adott szoftver, weboldal, illetve malware a PC vagy noteszgép erőforrásait arra, hogy készítőjének kriptovalutát bányásszon, így elég tetemes mennyiségű extra bevételt tud generálni, amennyiben elég széles felhasználói bázisra ül rá.
Mivel a kirptovaluta-árfolyamok esetében kisebb mozgolódás következett be az elmúlt időszakban, vagyis emelkedni kezdtek az árfolyamok, ismét elkezdtek terjedni az illegálisan bányászó malware-ek, amelyek között nemrégiben találtak egy igazán kifinomultat, ami a Norman nevet kapta. Az új cryptojacking malware létezéséről a Varonis névre keresztelt biztonságtechnikai cég kutatói számoltak be, akik elég sok részletet megtudtak a szoftver működésével kapcsolatban. Egy igen kifinomult kódról van szó, amely első körben az svchost.exe segítségével jut be az adott rendszerre – ez egy Windows folyamat, amely különböző műveletekért felel.
Az svchost.exe felhasználásával egy 5zmjbxUIOVQ58qPR.dll fájlt juttat a rendszerre a malware, ami tartalmazza a kriptovaluta-bányász kódot. Innentől kezdve a malware nagyon profin rejtőzködik, így a Feladatkezelő megnyitásakor sem bukkanhatunk a jelenlétének nyomaira. A malware a háttérben Monero kriptovalutát próbál bányászni, ezzel jelentősen lelassítva az áldozat rendszerét, alapját pedig az XMRig adja, amelynek köszönhetően igen jó teljesítménnyel dolgozhat. Ahogy a Feladatkezelőt bezárjuk, a malware újra aktiválódik, majd tovább folytatja a bányászatot.
A biztonságtechnikai kutatók a malware kódját megvizsgálva arra jutottak, hogy jó eséllyel egyetlen személy állhat mögötte, aki kivételesen jó képességekkel rendelkezik malware írás terén, hiszen efféle rejtőzködésre az átlag kriptovaluta-bányász kódok nem igazán képesek. Az egyelőre rejtély, hogy pontosan ki a készítő, sőt, még a nemzetiségét sem sikerült megállapítani, igaz, annyi kiderült, hogy a kódban francia megjegyzések lapulnak, de ez könnyedén lehet a rejtőzködés része is.
A kutatók szerint érdemes frissen tartani az operációs rendszert és a szoftvereket, érdemes monitorozni a webes adatforgalmat, valamint érdemes védelmi szoftvereket is használni. Az aktuális kriptovaluta-bányász malware-ek jellemzően a processzor segítségével bányásznak, így amennyiben indokolatlan lassulást tapasztalunk az adott rendszernél, érdemes körülnézni, mi okozhatja a bajt – például a ProcessHackerrel.
A Norman működésével és felépítésével kapcsoltban további információk a Varonis blogján olvashatóak.
