Sophos décrit de nouvelles variantes du cryptomineur Tor2Mine avec de nouvelles variantes offrant des capacités améliorées d'évasion, de persistance et de propagation. S'il se trouve dans le réseau, il n'est généralement pas seul.
L'analyse Sophos "Deux versions du mineur Tor2Mine creusent profondément dans les réseaux avec PowerShell, VBScript" montre comment le mineur échappe à la détection, se propage automatiquement sur un réseau cible et devient de plus en plus difficile à supprimer d'un système infecté. Tor2Mine est un mineur Monero actif depuis au moins deux ans.
Le mineur Monero Tor2Mine se propage automatiquement
Dans l'enquête, Sophos décrit de nouvelles variantes du mineur qui contiennent un script PowerShell qui tente de désactiver la protection anti-malware, d'exécuter la charge utile du mineur et de voler les informations d'identification de l'administrateur Windows. Ce qui se passe ensuite dépend de la capacité des cybercriminels à obtenir avec succès des droits d'administrateur avec les informations d'identification volées. Ce processus est le même pour toutes les variantes examinées.
Par exemple, si les attaquants parviennent à obtenir des informations d'identification administratives, ils peuvent sécuriser l'accès privilégié dont ils ont besoin pour installer les fichiers de minage. Ils peuvent également rechercher sur le réseau d'autres machines sur lesquelles installer les fichiers de minage. Cela permet à Tor2Mine de se propager et de s'imbriquer sur les ordinateurs du réseau.
Tor2Mine recherche de la puissance de calcul
Même si les attaquants ne peuvent pas obtenir de privilèges administratifs, Tor2Mine peut toujours exécuter le mineur à distance et sans fichiers, en utilisant des commandes qui s'exécutent en tant que tâches planifiées. Dans ce cas, le logiciel de minage est stocké à distance et non sur un ordinateur compromis.
Désactiver la protection anti-malware
Toutes les variantes ont en commun qu'elles essaient de désactiver la protection anti-malware et d'installer le même code minier. Dans tous les cas, le mineur continuera à infecter les systèmes sur le réseau jusqu'à ce qu'il rencontre une protection contre les logiciels malveillants ou qu'il soit complètement supprimé du réseau. Les chercheurs de Sophos ont également découvert des scripts qui tuent une variété de processus et de tâches. Presque tous sont liés aux logiciels criminels, y compris les cryptomineurs concurrents et les logiciels malveillants Clipper qui volent les adresses de portefeuille de crypto-monnaie.
"Les mineurs sont un moyen à faible risque pour les cybercriminels de transformer une vulnérabilité en argent numérique, le plus grand risque pour leur trésorerie étant que des mineurs concurrents découvrent les mêmes serveurs vulnérables", a déclaré Sean Gallagher, chercheur principal sur les menaces chez Sophos.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.