Sophos описує нові варіанти криптомайнера Tor2Mine із покращеними можливостями уникнення, наполегливості та розповсюдження. Якщо його знайшли в мережі, то зазвичай він не один.
Аналіз Sophos «Два варіанти майнера Tor2Mine глибоко проникають у мережі за допомогою PowerShell, VBScript» показує, як майнер ухиляється від виявлення, автоматично поширюється цільовою мережею, і його стає все важче видалити із зараженої системи. Tor2Mine — це майнер Monero, який працює щонайменше два роки.
Майнер Monero Tor2Mine поширюється автоматично
У розслідуванні Sophos описує нові варіанти майнера, які містять сценарій PowerShell, який намагається вимкнути захист від шкідливих програм, запустити корисне навантаження майнера та викрасти облікові дані адміністратора Windows. Що станеться далі, залежить від того, чи зможуть кіберзлочинці успішно отримати права адміністратора за допомогою вкрадених облікових даних. Цей процес однаковий для всіх розглянутих варіантів.
Наприклад, якщо зловмисникам вдається отримати облікові дані адміністратора, вони можуть забезпечити привілейований доступ, необхідний для встановлення файлів майнінгу. Вони також можуть шукати в мережі інші машини для встановлення файлів майнінгу. Це дозволяє Tor2Mine поширюватися та вкладатися в комп’ютери в мережі.
Tor2Mine шукає обчислювальну потужність
Навіть якщо зловмисники не можуть отримати адміністративні привілеї, Tor2Mine все одно може запустити майнер віддалено та без файлів, використовуючи команди, які виконуються як заплановані завдання. У цьому випадку програмне забезпечення для майнінгу зберігається віддалено, а не на скомпрометованому комп’ютері.
Вимкніть захист від шкідливих програм
Спільним для всіх варіантів є те, що вони намагаються вимкнути захист від зловмисного програмного забезпечення та встановити той самий код майнінгу. У всіх випадках майнер продовжуватиме заражати системи в мережі, поки не зустріне захист від зловмисного програмного забезпечення або не буде повністю видалено з мережі. Дослідники Sophos також виявили скрипти, які вбивають різноманітні процеси та завдання. Майже всі пов’язані зі злочинним програмним забезпеченням, включаючи конкуруючих криптомайнерів і зловмисне програмне забезпечення Clipper, яке викрадає адреси гаманців криптовалюти.
«Майнери — це спосіб для кіберзлочинців з низьким рівнем ризику перетворити вразливість на цифрову готівку, причому найбільший ризик для їхнього грошового потоку полягає в тому, що конкуруючі майнери виявляють ті самі вразливі сервери», — сказав Шон Галлахер, старший дослідник загроз у Sophos.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.