Sophos ha rilasciato nuove scoperte sul cryptominer Tor2Mine che mostrano come il miner elude il rilevamento, si diffonde automaticamente attraverso una rete di destinazione ed è sempre più difficile da rimuovere da un sistema infetto.
Le nuove varianti del miner includono uno script PowerShell che tenta di disabilitare la protezione da malware, eseguire il payload del miner e rubare le credenziali dell’amministratore di Windows. Ciò che accade dopo dipende dal fatto che gli aggressori ottengano o no i privilegi amministrativi con le credenziali rubate.
Nel caso in cui gli aggressori si impossessano delle credenziali amministrative, possono proteggere l’accesso privilegiato di cui hanno bisogno per installare i file di mining e possono anche cercare nella rete altre macchine su cui installare i file di mining. Tor2Mine può così diffondersi ulteriormente e integrarsi nei computer della rete.
Se gli aggressori non possono ottenere privilegi amministrativi, Tor2Mine può comunque eseguire il miner in remoto e senza file utilizzando comandi eseguiti come attività pianificate. In questo caso, il software di mining viene archiviato in remoto anziché su una macchina compromessa.
Tutte le varianti tentano di disattivare la protezione anti-malware e installare lo stesso codice miner e, allo stesso modo, in tutti i casi, il miner continuerà a infettare nuovamente i sistemi sulla rete a meno che non incontri la protezione da malware o non venga completamente sradicato dalla rete.
I ricercatori di Sophos hanno anche scoperto script progettati per eliminare una serie di processi e attività, la gran parte legati al crimeware, compresi i cryptominer concorrenti e il malware clipper che ruba gli indirizzi dei portafogli di criptovaluta.
“La presenza di minatori, come Tor2Mine, in una rete è quasi sempre foriera di altre intrusioni potenzialmente più pericolose. Tuttavia, Tor2Mine è molto più aggressivo di altri minatori”, ha affermato Sean Gallagher, ricercatore senior sulle minacce presso Sophos. “Una volta che ha stabilito un punto d’appoggio su una rete, è difficile sradicarla senza l’assistenza di software di protezione degli endpoint e altre misure anti-malware. Poiché si diffonde lateralmente lontano dal punto di compromesso iniziale, non può essere eliminato semplicemente rattoppando e pulendo un sistema. Il miner tenterà continuamente di infettare di nuovo altri sistemi sulla rete, anche dopo che il server di comando e controllo per il miner è stato bloccato o va offline. Poiché le criptovalute continuano ad aumentare di valore e supportano il panorama in continua crescita di ransomware ed estorsioni informatiche”.
