A Sophos descreve novas variantes do criptominerador Tor2Mine com novas variantes apresentando recursos aprimorados de evasão, persistência e propagação. Se ele for encontrado na rede, geralmente não está sozinho.
A análise da Sophos "Dois tipos de minerador Tor2Mine se aprofundam nas redes com PowerShell, VBScript" mostra como o minerador evita a detecção, se espalha automaticamente por uma rede de destino e se torna cada vez mais difícil de remover de um sistema infectado. Tor2Mine é um minerador de Monero que está ativo há pelo menos dois anos.
Mineiro Monero Tor2Mine se espalha automaticamente
Na investigação, a Sophos descreve novas variantes do minerador que contêm um script do PowerShell que tenta desativar a proteção antimalware, executar a carga útil do minerador e roubar credenciais de administrador do Windows. O que acontece então depende se os cibercriminosos conseguem obter direitos de administrador com sucesso com as credenciais roubadas. Este processo é o mesmo para todas as variantes examinadas.
Por exemplo, se os invasores conseguirem obter credenciais administrativas, eles podem garantir o acesso privilegiado de que precisam para instalar os arquivos de mineração. Eles também podem pesquisar na rede outras máquinas para instalar os arquivos de mineração. Isso permite que o Tor2Mine se espalhe e se aninhe em computadores na rede.
Tor2Mine está procurando poder de computação
Mesmo que os invasores não consigam obter privilégios administrativos, o Tor2Mine ainda pode executar o minerador remotamente e sem arquivos, usando comandos executados como tarefas agendadas. Nesse caso, o software de mineração é armazenado remotamente e não em um computador comprometido.
Desative a proteção antimalware
Todas as variantes têm em comum que tentam desativar a proteção antimalware e instalar o mesmo código de mineração. Em todos os casos, o minerador continuará infectando sistemas na rede até encontrar proteção contra malware ou ser completamente removido da rede. Os pesquisadores da Sophos também descobriram scripts que matam uma variedade de processos e tarefas. Quase todos estão relacionados a crimeware, incluindo criptomineradores concorrentes e malware Clipper, que rouba endereços de carteira de criptomoedas.
“Os mineradores são uma maneira de baixo risco para os cibercriminosos transformarem uma vulnerabilidade em dinheiro digital, com o maior risco para seu fluxo de caixa sendo mineradores concorrentes descobrindo os mesmos servidores vulneráveis”, disse Sean Gallagher, pesquisador sênior de ameaças da Sophos.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.