Sophos descrive nuove varianti del cryptominer Tor2Mine con nuove varianti caratterizzate da migliori capacità di evasione, persistenza e propagazione. Se viene trovato nella rete, di solito non è solo.
L'analisi Sophos "Due versioni del minatore Tor2Mine scavano in profondità nelle reti con PowerShell, VBScript" mostra come il minatore elude il rilevamento, si diffonde automaticamente su una rete target e diventa sempre più difficile da rimuovere da un sistema infetto. Tor2Mine è un miner Monero attivo da almeno due anni.
Il minatore Monero Tor2Mine si diffonde automaticamente
Nell'indagine, Sophos descrive nuove varianti del miner che contengono uno script PowerShell che tenta di disabilitare la protezione anti-malware, eseguire il payload del miner e rubare le credenziali dell'amministratore di Windows. Ciò che accade dipende dal fatto che i criminali informatici siano in grado di ottenere con successo i diritti di amministratore con le credenziali rubate. Questo processo è lo stesso per tutte le varianti esaminate.
Ad esempio, se gli aggressori riescono a ottenere le credenziali amministrative, possono garantire l'accesso con privilegi di cui hanno bisogno per installare i file di mining. Possono anche cercare nella rete altre macchine su cui installare i file di mining. Ciò consente a Tor2Mine di diffondersi e annidarsi sui computer della rete.
Tor2Mine è alla ricerca di potenza di calcolo
Anche se gli aggressori non possono ottenere privilegi amministrativi, Tor2Mine può comunque eseguire il miner da remoto e senza file, utilizzando comandi che vengono eseguiti come attività pianificate. In questo caso, il software di mining viene archiviato in remoto e non su un computer compromesso.
Disattiva la protezione anti-malware
Tutte le varianti hanno in comune il tentativo di disattivare la protezione anti-malware e installare lo stesso codice di mining. In tutti i casi, il minatore continuerà a infettare i sistemi sulla rete fino a quando non incontra la protezione da malware o viene completamente rimosso dalla rete. I ricercatori di Sophos hanno anche scoperto script che interrompono una varietà di processi e attività. Quasi tutti sono legati al crimeware, compresi i cryptominer concorrenti e il malware Clipper che ruba gli indirizzi dei portafogli di criptovalute.
"I minatori sono un modo a basso rischio per i criminali informatici di trasformare una vulnerabilità in denaro digitale, con il rischio maggiore per il loro flusso di cassa essendo i minatori concorrenti che scoprono gli stessi server vulnerabili", ha affermato Sean Gallagher, ricercatore senior sulle minacce di Sophos.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.