الأخبار التكنولوجية والاستعراضات والنصائح!
المدونات

حملات Cryptojacking الأخيرة تستخدم سلالة جديدة من البرامج الضارة تسمى "نورمان"

  • لقد اكتشف الباحثون برنامجًا خبيثًا جديدًا للتشفير لم يشاهد في البرية من قبل.
  • تسمى هذه البرامج الضارة الجديدة "نورمان" وتتميز بمجموعة غنية من أساليب التعتيم والاختباء.
  • يركز XMRig cryptominer على Monero ، وهو فعال بشكل خاص في نشاط التعدين.

وفقا لتقرير صادر عن فريق بحث الأمن فارونيس، يتم دعم أحدث حملات التشفير المستمر بواسطة متغير جديد من البرامج الضارة أطلقوا عليه اسم "نورمان". يستخدم هذا البرنامج الخبيث الجديد تقنيات جديدة للبقاء مخفياً عن الباحثين وأدوات AV بينما يتمتع بأداء تعدين عالي. تعتمد معظم المتغيرات التي تم تحليلها بواسطة الباحثين على خدمة DuckDNS لتواصلهم مع خادم C&C ، وجميعهم يستندون إلى XMRig ويركزون على استخراج عملة التشفير Monero.

بدأ التحقيق مع Varonis مع فريق الطب الشرعي التابع لهم بالرد على سؤال من أحد زبائنهم الذين أبلغوهم بنشاط الشبكة المشبوهة وغير الطبيعية. بعد التحقيق ، وجد الفريق أن العدوى الأولية قد حدثت منذ أكثر من عام ، وبحلول وقت الاكتشاف ، أصيبت جميع خوادم ومحطات عمل موكلهم. هذا يوضح كيف يمكن أن يظل نورمان مخفيًا في الشبكة ، حيث أن العدوى قد تحققت بالفعل من خلال مجموعة غنية من الأدوات ، بما في ذلك المتغيرات المختلفة من نورمان cryptominer ، وأدوات إلقاء كلمة المرور ، وقذائف PHP ، وغيرها من المخلفات.

عملية إطلاق Norman "width =" 696 "height =" 247 "data-srcset =" https://applexgen.com/ar/wp-content/uploads/2019/08/1566022822_170_حملات-Cryptojacking-الأخيرة-تستخدم-سلالة-جديدة-من-البرامج-الضارة-تسمى.png 1024w ، https: // cdn.technadu.com/wp-content/uploads/2019/08/Norman3-300x106.png 300w، https://cdn.technadu.com/wp-content/uploads/2019/08/Norman3-768x273.png 768w، https://cdn.technadu.com/wp-content/uploads/2019/08/Norman3-200x71.png 200w ، https://cdn.technadu.com/wp-content/uploads/2019/08/Norman3-696x247 .png 696w ، https://cdn.technadu.com/wp-content/uploads/2019/08/Norman3-1068x379.png 1068w ، https://cdn.technadu.com/wp-content/uploads/2019/08 /Norman3-1184x420.png 1184w ، https://cdn.technadu.com/wp-content/uploads/2019/08/Norman3.png 1316w "sizes =" (العرض الأقصى: 696 بكسل) 100 فولت ، 696 بكسلمصدر الصورة: varonis.com

يتم تنفيذ Norman من خلال ملف باسم "ملف Svchost.exe" والذي تم تجميعه باستخدام نظام NSIS. يحتوي الأرشيف على ملفات DLL متعددة البيانات وملفات البيانات التي تجعل حقنه ممكنًا. لتجنب الاكتشاف ، يقوم ملف Svchost.exe بإنشاء عملية نسخ متطابقة لنفسه وينتهي ، بينما تتولى العملية الثانية دور تشغيل إما Notepad أو Explorer ، وحقن cryptominer فيها.

اعتمادًا على ما إذا كان النظام المستهدف هو نظام تشغيل 32 بت أو 64 بت ، يتبع نورمان عملية مختلفة لبدء التشغيل. إذا قام المستخدم بفتح "إدارة المهام" للتحقق مما يجري بالموارد ، فسيتم إنهاء العملية التي تم إطلاقها بواسطة البرامج الضارة. بمجرد إغلاق إدارة المهام ، يتم إعادة تشغيل العملية وإعادة حقن عامل المنجم.

أرشيف Norman "width =" 749 "height =" 510 "data-srcset =" https://applexgen.com/ar/wp-content/uploads/2019/08/1566022823_0_حملات-Cryptojacking-الأخيرة-تستخدم-سلالة-جديدة-من-البرامج-الضارة-تسمى.png 749w ، https: //cdn.technadu .com / wp-content / uploads / 2019/08 / Norman17-300x204.png 300w، https://cdn.technadu.com/wp-content/uploads/2019/08/Norman17-200x136.png 200w، https: / /cdn.technadu.com/wp-content/uploads/2019/08/Norman17-696x474.png 696w ، https://cdn.technadu.com/wp-content/uploads/2019/08/Norman17-617x420.png 617w "الأحجام =" (الحد الأقصى للعرض: 749 بكسل) 100 فولت ، 749 بكسلمصدر الصورة: varonis.com

استنادًا إلى تحليل العينات ، يعتقد فريق Varonis أن Norman ينبع من فرنسا ، حيث أن التعليقات الموجودة في ملف SFX مكتوبة باللغة الفرنسية ، كما أن إصدار WinRAR الذي تم استخدامه لتجميع الأرشيف كان أيضًا باللغة الفرنسية.

للحفاظ على الحماية من التهديدات مثل هذا التهديد ، يجب عليك تحديث جميع برامجك ومراقبة حركة مرور الشبكة ووكلاء الويب وإعداد قيود محددة ومستهدفة من خلال نشر جدار حماية. أيضًا ، لا تنس مراقبة نشاط وحدة المعالجة المركزية على أجهزة الكمبيوتر لديك ، ومراقبة DNS ، واستخدام أدوات AV القوية.

لديك ما تقوله على ما سبق؟ لا تتردد في مشاركة أفكارك معنا في التعليقات أدناه ، أو على مواقع التواصل الاجتماعي لدينا ، على Facebook و Twitter.


نحن نوصيك: