Norman : le cryptojacking n'est pas encore mort, un nouveau malware en vadrouille ! |
————— 16 Août 2019 à 07h40 —— 12965 vues
Non, ce n'est pas une blague, alors qu'on pensait que le cryptojacking (maman, c'est quoi le cryptojacking ?) avait tiré sa révérence en 2018 après un pic d'activité en 2017. Visiblement certains individus persistent ! Un nouveau malware a ainsi été découvert par Varonis, une entreprise spécialisée en sécurité, révélant un nouveau type de malware de cryptojacking utilisant des stratagèmes plus sophistiqués qu'auparavant pour passer inaperçu aux yeux de l'utilisateur. Norman, puisque ce serait son p'tit nom officiel, se cacherait ainsi automatiquement de lui-même lorsqu'il détecte l'ouverture du gestionnaire des tâches de Windows, par exemple dans le cas où l'utilisateur chercherait à trouver la source du ralentissement inhabituel de sa machine. Une fois le gestionnaire fermé, le malware de cryptojacking se réinjecterait ensuite systématiquement dans les processus, oh le malin !
Dans un premier temps, le malware s'insère dans Windows via le processus svchost.exe, un processus bien connu de l'OS et réalisant de nombreuses opérations. Après quoi est injecté le fichier Norman.dll contenant le cryptomineur, tout en activant les méthodes de camouflages avancées afin d'éviter toute détection pendant que le mineur s'occupe de miner la cryptomonnaie Monero - traditionnellement, la monnaie de choix des malware du fait de ses excellentes garanties de confidentialité.
Eric Saraga, l'un des chercheurs en sécurité et co-auteur du travail de recherche sur Norman, a également partagé ses commentaires sur les différences entre Norman et un cryptomineur malicieux ordinaire :
Norman seems to be an elaborate cryptominer, more so than the average cryptominer. It tries to hide from analysis, and it uses elaborate techniques to hide itself further. This is not typical behavior for cryptominers."
En somme, Norman est "intelligent" et sait analyser la situation pour mieux se planquer, un comportement considéré inhabituel pour ce type de malware. En sus, Eric précise qu'aucune information n'a encore pu être découverte sur son origine, hormis la mise en évidence de commentaires de code écrits en français. Cela pourrait donner une petite idée du pays d'origine du créateur, mais pourrait aussi n'être qu'un moyen supplémentaire visant à dérouter les chercheurs et cacher l'identité de l'auteur. Dans tous les cas, Varonis estime qu'il s'agirait plutôt du travail d'un développeur assez doué au lieu d'un groupe.
L’émergence de ce malware n'est d'ailleurs peut-être pas un hasard non plus, alors que le bitcoin a très récemment repris des couleurs, et par conséquent les autres cryptomonnaies aussi. Faut-il en déduire que le cryptojacking pourrait également revenir à la charge dans les mois qui viennent ? Youpi ! (Source)
 | Un poil avant ?RX 5700 XT Evoke : une inspiration Sapphirienne ? | Un peu plus tard ...Micron ouvre une usine de plus à Singapour | |
Franchement cette merde transforme mon i5 avec 16Go de RAM est un SSD qui dépote du 300Mo/s en brique qui prend 20min à lancer Outlook
Logiciel qui ne sert strictement à rien, qui est un gouffre
écologique :
- conso de 70000 PC à 100% pendant une 10aine d'heure chaque Jeudi ! V'la le bilan carbone !
- PC récents jetés parce que la bouse d'AV le rend inutilisable
économique :
- conso
- ingénieurs payés à se tourner les pouces pendant que leur PC rame
Pour une raison qui me dépasse cette merde est considérée comme "utile" : je peux me faire virer juste pour l'avoir désactivé pour pouvoir bosser normalement, ce "Norman" fait la même chose (charger à 100% le CPU pour ne rien faire) mais on le range dans la catégorie malware: au moins il rapporte du blé à un dev pas trop con