Sophos beschreibt neue Varianten des Tor2Mine Cryptominer mit neuen Varianten, die sich durch verbesserte Umgehungs-, Persistenz- und Verbreitungsfähigkeiten auszeichnen. Wird er im Netzwerk gefunden, ist er meist nicht alleine unterwegs.
Die Sophos-Analyse “Two flavors of Tor2Mine miner dig deep into networks with PowerShell, VBScript“ zeigt, wie der Miner sich der Erkennung entzieht, sich automatisch in einem Zielnetzwerk ausbreitet und immer schwieriger von einem infizierten System zu entfernen ist. Tor2Mine ist ein Monero-Miner, der bereits seit mindestens zwei Jahren aktiv ist.
Monero-Miner Tor2Mine verbreitet sich automatisch
In der Untersuchung beschreibt Sophos neue Varianten des Miners, die ein PowerShell-Skript enthalten, das versucht, den Malware-Schutz zu deaktivieren, die Nutzlast des Miners auszuführen und Windows-Administrator-Anmeldedaten zu stehlen. Was dann passiert, hängt davon ab, ob es Cyberkriminellen gelingt, mit den gestohlenen Zugangsdaten erfolgreich Administratorrechte zu erlangen. Dieser Prozess ist bei allen untersuchten Varianten gleich.
Gelingt es den Angreifern beispielsweise, sich administrative Anmeldeinformationen zu verschaffen, können sie sich den privilegierten Zugriff sichern, den sie zur Installation der Mining-Dateien benötigen. Sie können auch das Netzwerk nach anderen Rechnern durchsuchen, auf denen sie die Mining-Dateien installieren können. Dadurch kann sich Tor2Mine weiterverbreiten und sich auf Computern im Netzwerk einnisten.
Tor2Mine sucht nach Rechenpower
Selbst wenn die Angreifer keine administrativen Rechte erlangen können, kann Tor2Mine den Miner dennoch aus der Ferne und ohne Dateien ausführen, indem Befehle verwendet werden, die als geplante Aufgaben ausgeführt werden. In diesem Fall wird die Mining-Software aus der Ferne und nicht auf einem angegriffenen Computer gespeichert.
Ausschalten des Anti-Malware-Schutzes
Alle Varianten eint, dass sie versuchen, den Anti-Malware-Schutz auszuschalten und denselben Mining-Code zu installieren. In allen Fällen wird der Miner weiterhin Systeme im Netzwerk infizieren, bis er auf einen Malware-Schutz trifft oder vollständig aus dem Netzwerk entfernt wird. Die Sophos Forscher entdeckten auch Skripte, die eine Vielzahl von Prozessen und Aufgaben beenden. Fast alle stehen im Zusammenhang mit Crimeware, einschließlich konkurrierender Cryptominers und Clipper-Malware, die Kryptowährungs-Wallet-Adressen stiehlt.
„Miner sind eine risikoarme Möglichkeit für Cyberkriminelle, eine Schwachstelle in digitales Geld zu verwandeln, wobei das größte Risiko für ihren Geldfluss darin besteht, dass konkurrierende Miner dieselben anfälligen Server entdecken“, sagt Sean Gallagher, Senior Threat Researcher bei Sophos.
Mehr bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.