Kampanye Cryptojacking Baru-Baru Ini Menggunakan Strain Malware Baru yang Disebut 'Norman'

• Para peneliti telah menangkap malware cryptomining baru yang belum pernah terlihat di alam liar sebelumnya.
• Malware baru ini disebut 'Norman' dan menampilkan serangkaian metode penyembunyian dan penyembunyian yang kaya.
• Cryptominer XMRig difokuskan pada Monero, dan sangat efektif dalam aktivitas penambangannya.

Menurut laporan oleh Tim peneliti keamanan Varonis, kampanye cryptomining terbaru yang sedang berlangsung didukung oleh varian malware baru yang mereka beri nama 'Norman'. Perangkat lunak berbahaya baru ini menggunakan teknik-teknik baru untuk tetap tersembunyi dari para peneliti dan alat AV sambil meningkatkan kinerja penambangan tinggi. Sebagian besar varian yang dianalisis oleh para peneliti mengandalkan layanan DuckDNS untuk komunikasi mereka dengan server C&C, dan semuanya berbasis XMRig yang berfokus pada penambangan cryptocurrency Monero.

Penyelidikan Varonis dimulai dengan tim forensik mereka menanggapi pertanyaan oleh salah satu klien mereka yang memberi tahu mereka tentang aktivitas jaringan yang mencurigakan dan tidak normal. Setelah diselidiki, tim menemukan bahwa infeksi awal telah terjadi lebih dari setahun yang lalu, dan pada saat penemuan, semua server dan workstation klien mereka telah terinfeksi. Ini menunjukkan betapa baiknya Norman dapat tetap tersembunyi di jaringan, karena infeksi sebenarnya telah terwujud melalui serangkaian alat yang kaya, termasuk berbagai varian cryptominer Norman, alat pembuangan kata sandi, kerang PHP, dan sisa-sisa lainnya.

sumber gambar: varonis.com

Norman dieksekusi melalui file dengan nama "svchost.exe" yang dikompilasi dengan sistem NSIS. Arsip ini berisi berbagai DLL payload dan file data yang memungkinkan injeksi. Untuk menghindari deteksi, svchost.exe membuat proses mirror itu sendiri dan berakhir, sedangkan proses kedua melakukan peran meluncurkan Notepad atau Explorer, dan menyuntikkan cryptominer ke dalamnya.

Bergantung pada apakah sistem targetnya adalah OS 32-bit atau 64-bit, Norman mengikuti proses peluncuran yang berbeda. Jika pengguna membuka Pengelola Tugas untuk memeriksa apa yang terjadi dengan sumber daya, proses yang diluncurkan oleh malware dihentikan. Setelah Task Manager ditutup, proses diluncurkan kembali dan penambang disuntikkan ulang.

sumber gambar: varonis.com

Berdasarkan analisis sampel, tim Varonis percaya bahwa Norman berasal dari Perancis, karena komentar dalam file SFX ditulis dalam bahasa Prancis, dan versi WinRAR yang digunakan untuk bundling arsip juga berasal dari Perancis.

Agar tetap terlindung dari ancaman seperti ini, Anda harus menjaga agar semua perangkat lunak Anda mutakhir, memantau lalu lintas jaringan dan proksi Web dan mengatur batasan spesifik dan bertarget dengan menggunakan firewall. Juga, jangan lupa memantau aktivitas CPU di komputer Anda, memantau DNS, dan menggunakan alat AV yang kuat.

Ada yang ingin dikatakan di atas? Silakan berbagi pemikiran Anda dengan kami di komentar di bawah, atau di acara sosial kami, di Facebook dan Twitter.