A empresa de segurança Sophos divulgou segunda-feira novas descobertas sobre o minerador de criptomoedas Tor2Mine. Num relatório intitulado “Two flavors of Tor2Mine miner dig deep into networks with PowerShell, VBScript”, os pesquisadores da empresa mostram como ele evita a detecção e se espalha automaticamente por uma rede, tornando-se cada vez mais difícil de ser removido. O Tor2Mine é um criptominerador da moeda virtual Monero, e está ativo há pelo menos dois anos.
Na pesquisa, assinada por Sean Gallagher, a Sophos descreve novas variantes do minerador, que incluem um script PowerShell destinado a desabilitar a proteção contra malware, executar a carga útil do minerador e roubar credenciais de administradores de Windows. O que acontece a seguir depende de os invasores terem obtido privilégios administrativos com as credenciais roubadas. Esse processo é igual para todas as variantes analisadas.
Veja isso
Cryptojacking eleva conta de nuvem a US$ 760 mil
Cryptojacking: veneno que corrói a economia digital
Se por exemplo os invasores conseguirem obter credenciais administrativas, podem proteger o acesso privilegiado necessário para instalar os arquivos de mineração. Além disso, podem pesquisar dentro da rede outras máquinas nas quais é possível instalar os arquivos de mineração. Isso permite que o Tor2Mine se espalhe ainda mais e seja incorporado aos dispositivos conectados à rede.
Mesmo sem conseguir privilégios administrativos, o Tor2Mine ainda pode executar o minerador remotamente e sem arquivos, através de comandos que são executados como tarefas agendadas. Neste caso, o software de mineração é armazenado remotamente, e não em uma máquina comprometida. Ainda, todas as variantes tentam desligar a proteção anti-malware e instalar o mesmo código do minerador. Da mesma forma, em todos os casos, ele continuará a reinfectar sistemas na rede, a menos que encontre uma proteção contra malware ou seja completamente excluído da rede.
“A presença de mineradores, como o Tor2Mine, em uma rede é quase sempre um prenúncio de outras invasões potencialmente mais perigosas. No entanto, o Tor2Mine é muito mais agressivo do que outros criptomineradores”, explica Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos. “Depois de estabelecer uma base em uma rede, é difícil eliminá-lo sem a ajuda de um software de proteção de endpoint e outras medidas anti-malware, pois essas modalidades se espalham lateralmente longe do ponto inicial da invasão e não podem ser excluídas apenas com a limpeza do sistema. Os mineradores tentam continuamente reinfectar outros sistemas na rede, mesmo depois do servidor de comando e controle ser bloqueado ou ficar offline. À medida que as criptomoedas continuam a aumentar em valor e a dar suporte ao cenário de ransomware e ciber extorsão, podemos ver o surgimento de mais variantes, ainda mais agressivas, de outros criptominadores”.
Os pesquisadores da Sophos também descobriram scripts projetados para eliminar uma variedade de processos e tarefas. Quase todos eles são relacionados a crimewares, incluindo mineradores concorrentes de criptomoedas e malware clippers que roubam endereços de carteiras de criptomoedas. “Os mineradores são uma forma de baixo risco para cibercriminosos transformarem uma vulnerabilidade em dinheiro digital, porém existe um risco ainda maior para o fluxo de caixa se mineradores concorrentes descobrirem os mesmos servidores vulneráveis”, completa Gallagher.
A Sophos traz as seguintes recomendações para ajudar as organizações a protegerem suas redes e endpoints contra criptomineradores como o Tor2Mine:
- Corrigir vulnerabilidades de software rapidamente em sistemas voltados para a internet, como aplicativos da web, serviços VPN e servidores de e-mail;
- Instalar soluções anti-malware — os mineradores, em geral, são facilmente detectados por tais tecnologias — particularmente aqueles que utilizam a Interface de Software Anti-Malware (AMSI) do Windows para detectar scripts destinados a desligar a proteção contra malware;
- Monitorar utilizações intensas de poder de processamento, desempenho reduzido de computadores e contas de energia mais altas do que o esperado, pois qualquer um desses pode indicar a presença de criptominadores na rede.
A Sophos detecta variantes do Tor2Mine, como a família MineJob (MineJob-A a E), além dos comportamentos de script de cada variante. Os indicadores de comprometimento para as variantes do Tor2Mine discutidas na pesquisa estão disponíveis na página do GitHub da SophosLabs.
Com informações da assessoria de imprensa