0
0
A Sophos divulgou novas descobertas no criptominer Tor2Mine, que mostram como o mineiro evita a detecção, se espalha automaticamente por uma rede de destino e é cada vez mais difícil de remover de um sistema infectado. Tor2Mine é um Monero-minerador que está ativo há pelo menos dois anos.
Na pesquisa, a Sophos descreve novas variantes do mineiro que incluem um script do PowerShell que tenta desativar a proteção contra malware, executar a carga útil do mineiro e roubar credenciais de administrador do Windows. O que acontece a seguir depende se os atacantes ganham com sucesso privilégios administrativos com as credenciais roubadas. Esse processo é o mesmo para todas as variantes analisadas.
Por exemplo, se os invasores conseguirem se apossar de credenciais administrativas, eles poderão garantir o acesso privilegiado de que precisam para instalar os arquivos de mineração. Eles também podem pesquisar na rede por outras máquinas nas quais possam instalar os arquivos de mineração. Isso permite que o Tor2Mine se espalhe ainda mais e se incorpore em computadores pela rede.
O criptominador Tor2Mine pode executar o mineiro remotamente e sem arquivos
Se os atacantes não puderem obter privilégios administrativos, o Tor2Mine ainda poderá executar o mineiro remotamente e sem arquivo usando comandos executados como tarefas agendadas. Neste caso, o software de mineração é armazenado remotamente em vez de em uma máquina comprometida.
Todas as variantes tentam desligar a proteção antimalware e instalar o mesmo código de mineiro. Da mesma forma, em todos os casos, o mineiro continuará a reinfectar sistemas na rede, a menos que encontre proteção contra malware ou seja completamente erradicado da rede.
“A presença de mineiros, como a Tor2Mine, em uma rede é quase sempre um prenúncio de outras intrusões potencialmente mais perigosas. No entanto, o Tor2Mine é muito mais agressivo do que outros mineiros”, disse Sean Gallagher, pesquisador sênior de ameaças da Sophos.
“Uma vez estabelecido uma posição em uma rede, é difícil erradicar sem a ajuda de software de proteção de terminais e outras medidas antimalware. Como se espalha lateralmente para longe do ponto inicial de comprometimento, não pode ser eliminado apenas corrigindo e limpando um sistema. O mineiro tentará continuamente infectar novamente outros sistemas na rede, mesmo depois que o servidor de comando e controle do mineiro tiver sido bloqueado ou ficar offline.
“À medida que as criptomoedas continuam a aumentar de valor e suportam o crescente cenário de ransomware e extorsão cibernética, podemos ver mais e mais agressivas variantes de outros criptominadores surgirem.”
Os pesquisadores também descobriram scripts projetados para matar uma variedade de processos e tarefas. Quase todos eles estão relacionados ao crimeware, incluindo criptominadores concorrentes e malware clipper que rouba endereços de carteira de criptomoedas.
“Os mineiros são uma maneira de baixo risco para os cibercriminosos transformarem uma vulnerabilidade em dinheiro digital, com o maior risco para o seu fluxo de caixa sendo mineiros concorrentes descobrindo os mesmos servidores vulneráveis”, disse Gallagher.
Como proteger redes e endpoints contra criptominadores
- Corrija vulnerabilidades de software rapidamente em sistemas voltados para a Internet, como aplicativos da web, serviços VPN e servidores de e-mail, pois isso os tornará muito menos propensos a serem vítimas de criptominadores
- Instale produtos antimalware – os mineiros geralmente são facilmente detectados por essas tecnologias – particularmente aquelas que aproveitam a Interface de Software Antimalware (AMSI) do Windows para detectar scripts destinados a desligar a proteção contra malware
- Monitore o uso excepcionalmente pesado do poder de processamento, desempenho reduzido do computador e contas de eletricidade mais altas do que o esperado, pois qualquer uma delas pode indicar a presença de criptominadores na rede
FONTE: HELPNET SECURITY