Sau khi được một tổ chức khách hàng thông báo về tình trạng ứng dụng và mạng trở nên trì trệ, công ty đã quyết định điều tra về vụ việc này và phát hiện một loại biến thể mã độc đào tiền ảo ẩn mình mới.

Công ty cho biết, hầu như mọi máy chủ và máy trạm của tổ chức khách hàng này đều bị nhiễm mã độc. Hầu hết đều là các biến thể thông thường của mã độc đào tiền ảo, như các công cụ kết xuất (dumping), trình PHP shell ẩn mình... một số mã độc đã xuất hiện trong nhiều năm. Trong số mã độc bị phát hiện có một loại mã độc mới và đáng chú ý nhất được đặt tên là Norman.

Norman là mã độc đào tiền ảo Monero hiệu suất cao, khác biệt so với nhiều mẫu mã độc khác ở phương thức ẩn mình tinh vi của nó. Khác với thường lệ, mã độc này được biên dịch với Nullsoft Scriptable Install System (NSIS), một hệ thống mã nguồn mở thường được sử dụng để tạo các trình cài đặt Windows.

Gói tin độc hại được thiết kế để thực thi mã độc đào tiền ảo và tự ẩn mình. Nó tránh bị phát hiện bằng cách kết thúc tính năng đào tiền ảo khi người dùng mở Trình quản lý tác vụ (Task Manager). Sau khi trình quản lý đóng lại, nó sẽ chèn lại mã độc và tiếp tục đào tiền ảo. Tính năng đào tiền ảo có tên là XMRig, được giấu trong phần mềm độc hại bằng công cụ nén UPX và được chèn vào Notepad hoặc Explorer tùy theo đường dẫn thực thi.

Mã độc đào tiền ảo này còn có thể liên kết với trình PHP shell trong hệ thống của nạn nhân, liên tục kết nối với máy chủ C&C. Cả mã độc Norman và trình PHP shell đều sử dụng dịch vụ cấp tên miền động DuckDNS để kết nối với máy chủ C&C.

Không mã độc nào trong số các mẫu đã phát hiện có khả năng di chuyển biên (lateral movement), mặc dù chúng đã lây lan trên các thiết bị và phân khúc mạng khác nhau. Cho dù tin tặc có thể đã lây nhiễm từng máy chủ riêng lẻ (có thể thông qua cùng một hướng tấn công được sử dụng trong lần lây nhiễm ban đầu), nhưng khả năng lây lan bằng cách sử dụng trình PHP shell để di chuyển biên và lây nhiễm sang các thiết bị khác trong mạng nạn nhân là không xảy ra.

Ngoài ra, công ty cũng tuyên bố là không có sự tương đồng về mã nguồn hoặc khả năng kết nối giữa mã độc đào tiền ảo và PHP shell. Theo suy đoán, tin tặc có thể là người nói tiếng Pháp do ngôn ngữ này đã xuất hiện trong mã nguồn.

Thông qua vụ việc lần này, công ty Varonis kêu gọi các tổ chức cần cảnh giác với mối nguy hại mã độc đào tiền ảo và thực hiện các biện pháp phòng chống như: luôn cập nhật hệ điều hành; giám sát lưu lượng mạng và proxy web; duy trì phần mềm antivirus trên các điểm cuối; cẩn trọng với DNS và theo dõi hoạt động của CPU; đồng thời có kế hoạch ứng phó sự cố đã được thử nghiệm và sẵn sàng triển khai.