Gefährlich: Tor2Mine Cryptominer mit neuen Varianten

Sophos News
Anzeige

Beitrag teilen

Sophos beschreibt neue Varianten des Tor2Mine Cryptominer mit neuen Varianten, die sich durch verbesserte Umgehungs-, Persistenz- und Verbreitungsfähigkeiten auszeichnen. Wird er im Netzwerk gefunden, ist er meist nicht alleine unterwegs.

Die Sophos-Analyse “Two flavors of Tor2Mine miner dig deep into networks with PowerShell, VBScript“ zeigt, wie der Miner sich der Erkennung entzieht, sich automatisch in einem Zielnetzwerk ausbreitet und immer schwieriger von einem infizierten System zu entfernen ist. Tor2Mine ist ein Monero-Miner, der bereits seit mindestens zwei Jahren aktiv ist.

Anzeige

Monero-Miner Tor2Mine verbreitet sich automatisch

In der Untersuchung beschreibt Sophos neue Varianten des Miners, die ein PowerShell-Skript enthalten, das versucht, den Malware-Schutz zu deaktivieren, die Nutzlast des Miners auszuführen und Windows-Administrator-Anmeldedaten zu stehlen. Was dann passiert, hängt davon ab, ob es Cyberkriminellen gelingt, mit den gestohlenen Zugangsdaten erfolgreich Administratorrechte zu erlangen. Dieser Prozess ist bei allen untersuchten Varianten gleich.

Gelingt es den Angreifern beispielsweise, sich administrative Anmeldeinformationen zu verschaffen, können sie sich den privilegierten Zugriff sichern, den sie zur Installation der Mining-Dateien benötigen. Sie können auch das Netzwerk nach anderen Rechnern durchsuchen, auf denen sie die Mining-Dateien installieren können. Dadurch kann sich Tor2Mine weiterverbreiten und sich auf Computern im Netzwerk einnisten.

Anzeige

Tor2Mine sucht nach Rechenpower

Selbst wenn die Angreifer keine administrativen Rechte erlangen können, kann Tor2Mine den Miner dennoch aus der Ferne und ohne Dateien ausführen, indem Befehle verwendet werden, die als geplante Aufgaben ausgeführt werden. In diesem Fall wird die Mining-Software aus der Ferne und nicht auf einem angegriffenen Computer gespeichert.

Ausschalten des Anti-Malware-Schutzes

Alle Varianten eint, dass sie versuchen, den Anti-Malware-Schutz auszuschalten und denselben Mining-Code zu installieren. In allen Fällen wird der Miner weiterhin Systeme im Netzwerk infizieren, bis er auf einen Malware-Schutz trifft oder vollständig aus dem Netzwerk entfernt wird. Die Sophos Forscher entdeckten auch Skripte, die eine Vielzahl von Prozessen und Aufgaben beenden. Fast alle stehen im Zusammenhang mit Crimeware, einschließlich konkurrierender Cryptominers und Clipper-Malware, die Kryptowährungs-Wallet-Adressen stiehlt.

“Miner sind eine risikoarme Möglichkeit für Cyberkriminelle, eine Schwachstelle in digitales Geld zu verwandeln, wobei das größte Risiko für ihren Geldfluss darin besteht, dass konkurrierende Miner dieselben anfälligen Server entdecken”, sagt Sean Gallagher, Senior Threat Researcher bei Sophos.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Schwachstellen in Netgear Nighthawk RAX30-Routern

Eine Verknüpfung von fünf Schwachstellen in Netgear Nighthawk RAX30-Routern erlaubt Angreifern die Überwachung und Manipulation des Internetverkehrs sowie die Übernahme ➡ Weiterlesen

Regulierung von KI-Software

Weltweit gibt es Bestrebungen, einen rechtlichen Rahmen für künstliche Intelligenz abzustecken. Es gab Anhörungen vor dem US-Kongress, bei denen sich ➡ Weiterlesen

Altbekannte Schwachstellen bleiben unbeachtet

Anfang dieser Woche gab die CISA bekannt, dass sie neue Linux-Schwachstellen in ihren Katalog aufgenommen hat, mit der Warnung, dass ➡ Weiterlesen

ChatGPT Fake-Apps: Teure Abos gegen null Funktionen

Ein Sophos-Report deckt die Abzocke durch kostspielige ChatGPT-Nachahmungen auf: Die Betrugs-Apps florieren weiterhin aufgrund von Lücken in den App-Store-Richtlinien vom ➡ Weiterlesen

Erste XDR-Lösung für ChromeOS in Unternehmen

CrowdStrike Falcon Insight XDR hilft Kunden, ihre ChromeOS-Geräteflotte zu verwalten und sich einen Überblick zu verschaffen, ohne dass eine Mobile ➡ Weiterlesen

Cloud-native Sicherheit

Da die Cloud-Infrastruktur immer mehr an Bedeutung gewinnt, ist ihre Absicherung zu einem zentralen Thema in den Behörden geworden. Daher ➡ Weiterlesen

Cyberspionage: Fileless Malware DownEX entdeckt

Die Experten der Bitdefender Labs haben eine neue Malware-Familie entdeckt. Die anspruchsvolle und sehr gezielt ausgespielte Attacke unter dem Namen ➡ Weiterlesen

Mobile Security mit App-Anomaly-Detection

Ansonsten harmlose Apps können nach dem Update plötzlich kompromittiert sein, wie auch neu installierte Apps. Bitdefender hat in seiner Mobile ➡ Weiterlesen