仮想通貨モネロ(XMR)を無断でマイニングする新型マルウエア、「ノーマン(Norman)」は、検出を回避するために巧妙な技を使う。
この悪意あるコードは、データセキュリティー企業バロニス(Varonis)がとある「中規模企業」で起きた仮想通貨マイナー大量発生を調査していた際に発見された。
「ほぼ全てのサーバーとワークステーションがマルウエアに感染していました。大半は一般的な仮想通貨マイナーでした。一部はパスワードダンピングツールで、他にも隠されたPHPシェルがあったり、数年間存在していたものもありました」と、バロニスは語った。
しかし、同社が「ノーマン」と名付けたマイナーマルウエアは突出していた。
ノーマンには、2つの主要な機能がある。マイニングソフトウエア「XMRig」をベースとした仮想通貨マイナーの実行と、検出の回避だ。
ノーマンは侵入後、存在している証拠を隠すためにexplorer.exeで自身を上書きする。さらに、パソコンのユーザーがタスクマネージャー(下記画像参照)を開くと、マイナーの実行を停止する。そしてタスクマネージャーが終了されると、マイナーの実行を再開する。
このマルウエアのマイナー要素は、ソフトウエア開発プラットフォームのGitHubで提供されているオープンに利用可能なXMRigのコードに基づいている。しかしバロニスは、そのXMRアドレスがリンクしているマイニングプールによってブロックされているために、事実上無効になっていることを発見した。
さらに研究者たちは、「コマンド&コントロール(C&C)サーバーに継続的に接続」する、ノーマンに関連している可能性のあるPHPシェルも発見した。ウェブシェルは、インストールされたシステムへのリモートアクセスを可能にする。
しかしバロニスの研究者たちがそのコードを実行したところ、コマンドを待つループが入力され、記事執筆時点ではコマンドが受け取られていないことが判明した。
今回の報告は、ノーマンがフランス、またはフランス語圏の国で作られた可能性があるとも指摘している。「SFXファイルにはフランス語のコメントが付いており、それは作成者がファイル作成のために、WinRARのフランス語版を利用していたことを示しています」と、バロニスは述べた。
翻訳:山口晶子
編集:町田優太
写真:Cat in a box image via Shutterstock; gif animation via Varonis
原文:New Malware Miner Sneakily Hides When Task Manager Is Open