Sophos describe nuevas variantes del criptominero Tor2Mine con nuevas variantes que presentan capacidades mejoradas de evasión, persistencia y propagación. Si se encuentra en la red, por lo general no está solo.
El análisis de Sophos "Dos sabores del minero Tor2Mine profundizan en las redes con PowerShell, VBScript" muestra cómo el minero evade la detección, se propaga automáticamente a través de una red de destino y se vuelve cada vez más difícil de eliminar de un sistema infectado. Tor2Mine es un minero de Monero que ha estado activo durante al menos dos años.
Monero miner Tor2Mine se propaga automáticamente
En la investigación, Sophos describe nuevas variantes del minero que contienen un script de PowerShell que intenta deshabilitar la protección antimalware, ejecutar la carga útil del minero y robar las credenciales de administrador de Windows. Lo que suceda entonces depende de si los ciberdelincuentes pueden obtener con éxito los derechos de administrador con las credenciales robadas. Este proceso es el mismo para todas las variantes examinadas.
Por ejemplo, si los atacantes logran obtener credenciales administrativas, pueden asegurar el acceso privilegiado que necesitan para instalar los archivos de minería. También pueden buscar en la red otras máquinas para instalar los archivos de minería. Esto permite que Tor2Mine se propague y anide en las computadoras de la red.
Tor2Mine busca poder de cómputo
Incluso si los atacantes no pueden obtener privilegios administrativos, Tor2Mine aún puede ejecutar el minero de forma remota y sin archivos, utilizando comandos que se ejecutan como tareas programadas. En este caso, el software de minería se almacena de forma remota y no en una computadora comprometida.
Desactivar la protección antimalware
Todas las variantes tienen en común que intentan desactivar la protección antimalware e instalar el mismo código de minería. En todos los casos, el minero continuará infectando sistemas en la red hasta que encuentre protección contra malware o se elimine por completo de la red. Los investigadores de Sophos también descubrieron scripts que matan una variedad de procesos y tareas. Casi todos están relacionados con el software delictivo, incluidos los criptomineros de la competencia y el malware Clipper que roba direcciones de billeteras de criptomonedas.
"Los mineros son una forma de bajo riesgo para que los ciberdelincuentes conviertan una vulnerabilidad en dinero digital, y el mayor riesgo para su flujo de efectivo es que los mineros de la competencia descubran los mismos servidores vulnerables", dijo Sean Gallagher, investigador principal de amenazas de Sophos.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.