Norman : le cryptojacking n'est pas encore mort, un nouveau malware en vadrouille ! |
————— 16 Août 2019 à 07h40 —— 12829 vues
Norman : le cryptojacking n'est pas encore mort, un nouveau malware en vadrouille ! |
————— 16 Août 2019 à 07h40 —— 12829 vues
Non, ce n'est pas une blague, alors qu'on pensait que le cryptojacking (maman, c'est quoi le cryptojacking ?) avait tiré sa révérence en 2018 après un pic d'activité en 2017. Visiblement certains individus persistent ! Un nouveau malware a ainsi été découvert par Varonis, une entreprise spécialisée en sécurité, révélant un nouveau type de malware de cryptojacking utilisant des stratagèmes plus sophistiqués qu'auparavant pour passer inaperçu aux yeux de l'utilisateur. Norman, puisque ce serait son p'tit nom officiel, se cacherait ainsi automatiquement de lui-même lorsqu'il détecte l'ouverture du gestionnaire des tâches de Windows, par exemple dans le cas où l'utilisateur chercherait à trouver la source du ralentissement inhabituel de sa machine. Une fois le gestionnaire fermé, le malware de cryptojacking se réinjecterait ensuite systématiquement dans les processus, oh le malin !
Dans un premier temps, le malware s'insère dans Windows via le processus svchost.exe, un processus bien connu de l'OS et réalisant de nombreuses opérations. Après quoi est injecté le fichier Norman.dll contenant le cryptomineur, tout en activant les méthodes de camouflages avancées afin d'éviter toute détection pendant que le mineur s'occupe de miner la cryptomonnaie Monero - traditionnellement, la monnaie de choix des malware du fait de ses excellentes garanties de confidentialité.
Eric Saraga, l'un des chercheurs en sécurité et co-auteur du travail de recherche sur Norman, a également partagé ses commentaires sur les différences entre Norman et un cryptomineur malicieux ordinaire :
Norman seems to be an elaborate cryptominer, more so than the average cryptominer. It tries to hide from analysis, and it uses elaborate techniques to hide itself further. This is not typical behavior for cryptominers."
En somme, Norman est "intelligent" et sait analyser la situation pour mieux se planquer, un comportement considéré inhabituel pour ce type de malware. En sus, Eric précise qu'aucune information n'a encore pu être découverte sur son origine, hormis la mise en évidence de commentaires de code écrits en français. Cela pourrait donner une petite idée du pays d'origine du créateur, mais pourrait aussi n'être qu'un moyen supplémentaire visant à dérouter les chercheurs et cacher l'identité de l'auteur. Dans tous les cas, Varonis estime qu'il s'agirait plutôt du travail d'un développeur assez doué au lieu d'un groupe.
L’émergence de ce malware n'est d'ailleurs peut-être pas un hasard non plus, alors que le bitcoin a très récemment repris des couleurs, et par conséquent les autres cryptomonnaies aussi. Faut-il en déduire que le cryptojacking pourrait également revenir à la charge dans les mois qui viennent ? Youpi ! (Source)
Un poil avant ?RX 5700 XT Evoke : une inspiration Sapphirienne ? | Un peu plus tard ...Micron ouvre une usine de plus à Singapour |