A equipe da Varonis Security Research investigou e descobriu recentemente um novo malware minerador que se espalhou para quase todos os dispositivos em uma empresa de médio porte. O malware ganhou o nome de Norman, e é voltado para o Minerador Monero , uma criptomoeda criada em 2014.
O Norman usa várias técnicas para se ocultar e evitar sua descoberta. O código foi identificado em quase todos os servidores e estações de trabalho da empresa, mas a maioria era de variantes genéricas de criptomineradores, ferramentas de despejo de senhas, shell PHP oculto e até malwares que estavam há anos “trabalhando” nos equipamentos da empresa.
A Varonis investigou manualmente o ambiente do cliente, analisando cada estação de trabalho com base nos alertas gerados pelo Varonis DatAlert, que, devido a uma regra personalizada detectava as máquinas que estavam minerando ativamente, e usando os recursos da empresa, para que o incidente fosse contido rapidamente.
De todas as amostras, uma se destacou: o Norman é baseado no minerador XMRig, de alto desempenho para a criptomoeda Monero. Em um primeiro momento, o Norman parecia ser um minerador genérico se escondendo como “svchost.exe”. Mas suas técnicas se mostraram mais interessantes.
A carga útil do Norman tem duas funções: executar seu criptominerador e evitar a detecção. O elemento minerador é baseado no código XMRig hospedado no GitHib – entretanto, o endereço monero (CMR) está bloqueado pelo pool de mineração ao qual está vinculado. Após a injeção, ele substitui sua entrada no explorer.exe para ocultar sua presença e também para de operar quando o usuário do PC abre o gerenciador de tarefas, voltando ao “trabalho” assim que o gerenciador não estiver em execução.
Durante a investigação, os especialistas da Varonis revelaram um arquivo XSL em um servidor de comando e controle (C&C). Na análise, a equipe identificou que o arquivo não era um XSL, mas um Zend Guard que ofuscou o código PHP. Isso indica que, com base no padrão de execução, essa é a carga útil do malware.
Foram encontradas, também, nove DLLs, quatro bibliotecas PHP e uma Zend Guard. Nesse ponto, a equipe da Varonis assumiu que o malware era baseado em PHP e ofuscado pelo Zend Guard.
O Norman, também, pode ter sido originário da França, ou de algum outro país de língua francesa, pois o arquivo SFX tinha comentários em francês, indicando que o autor usou uma versão nessa língua do WinRAR para criar o arquivo. Além disso, algumas variáveis e funções no código estavam em francês.
Nas pesquisas, a equipe Varonis descobriu, um outro malware que parecia uma versão anterior do Norman. Apesar do conteúdo da pasta ser semelhante, o arquivo XSL era diferente e com um número de versão diferente.
O malware que depende de comandos nos servidores C&C são um tipo de ameaça diferente dos vírus comuns. Como suas ações não são previsíveis, detectar tais ataques pode ser um pouco mais complicado. Aqui estão três dicas para evitar shells remotos:
O Varonis DatAlert inclui modelos de ameaças que detectam malware com criptografia. Entre em contato e solicite uma demonstração gratuita.