La eliminación de malware Cryptominer es una parte rutinaria del panorama de la ciberseguridad en estos días. Sin embargo, si los delincuentes están secuestrando sus ciclos informáticos para extraer criptomonedas, es probable que también haya algo peor acechando en su red.
Así advirtió el investigador de amenazas de Sophos, Sean Gallagher, en una entrevista reciente con The Register cuando la organización antivirus lanza un informe sobre el criptominer Tor2Mine.
Tor2Mine no tiene nada de especial, salvo por sus características de persistencia. Si ingresa a su red, comienza a extraer la criptomoneda Monero, favorecida por los e-crims porque (a diferencia de Bitcoin) las billeteras no son visibles públicamente, lo que significa que los investigadores no pueden rastrear fácilmente las transacciones.
La nueva variante Tor2Mine es un minero de Monero que ha estado activo desde al menos 2019 y es capaz de aprovechar redes enteras de máquinas trabajadoras. Los autores continúan actualizando el minero a medida que encuentran nuevas formas de evitar la detección y mantener la persistencia en las redes comprometidas.
Debemos tener en cuenta que Tor2Mine usa un script de PowerShell para deshabilitar las soluciones anti-malware, implementar la carga útil y robar las credenciales de Windows.
▸Si puede obtener privilegios de administrador, Tor2Mine instala los ejecutables como un servicio y busca otras máquinas en la red para una mayor propagación.
▸Si no puede obtener las credenciales de administrador, el minero puede ejecutar sin archivos a través de comandos que se ejecutan como tareas programadas.