セキュリティ企業Varonisは、高度な技術を用いて検出を回避するクリプトジャッキングマルウェアの新種「Norman」を発見しました。クリプトジャッキングは、デバイス上で許可なく仮想通貨をマイニングするマルウェアの一種で、近年ますます人気が高まっています。
研究者によると、Windowsのタスクマネージャーを開いてマシンの動作が遅い原因を確認すると、Normanは姿を消す。英国のテクノロジー系メディアVerdictの報道によると、タスクマネージャーを閉じると、このクリプトジャッキングマルウェアは自身を再び挿入する。
このマルウェアは、まずsvchost.exe(様々な操作を実行するWindowsプロセス)を介して展開されます。このプロセスは、クリプトマイナーを含むNorman.dllペイロードを注入し、その後、高度な難読化技術を用いて検出を回避しながら暗号通貨Moneroをマイニングします。Moneroはプライバシー保護が最も高い暗号通貨の一つであり、今回のケースでは、マイニングされたコインがユーザーのコンピュータから流出したかどうかも隠蔽できます。
ノーマンを作ったのは誰か? クリプトジャッキングマルウェアの起源は謎に包まれている
セキュリティ研究者であり、Varonis による Norman に関する研究の共著者でもある Eric Saraga 氏は、Norman が通常の悪意のある暗号通貨マイナーとどのように異なるのかについて次のようにコメントしています。
「Normanは、平均的なマイナーよりも精巧なクリプトマイナーのようです。解析から逃れようとし、さらに精巧な手法で自身を隠蔽しようとします。これは典型的なクリプトマイナーの行動ではありません。」
同氏は「その起源を示す痕跡は何も残っていない」と付け加えた。
Varonisのセキュリティ研究者は、Normanクリプトジャッキングマルウェアの出所について、フランス語で書かれたコードコメント以外、あまり多くの情報を見つけることができませんでした。これはマルウェア作成者の所在地を示唆している可能性がありますが、あるいは、ユーザーのPC上のマルウェアの場所ではなく、マルウェア作成者の身元を隠すために実装された、新たな難読化手法である可能性もあります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
しかし、VaronisはNormanの背後にグループが存在するとは考えていません。むしろ、このクリプトジャッキングマルウェアは、平均以上のマルウェア作成スキルを持つ一人の人物によって開発された可能性が高いと考えています。
クリプトジャッキングは、仮想通貨マイニングによる収益が高かった2017年に増加し始めました。2018年には仮想通貨の価値が急落したため、クリプトマイニングマルウェアの使用はやや減少しました。しかし、仮想通貨の価値が再び上昇傾向にあることから、今後数ヶ月、あるいは1年の間に、マルウェア作成者が再びクリプトジャッキングを利用し始める可能性があります。
