Tor2Mine

Tor2Mine е заплаха за крипто копаене, която отвлича ресурсите на компрометирани компютри и ги използва за копаене за Monero, една от най-популярните криптовалути. Заплахата е активна от поне две години и през този период е подобрена и оборудвана с нови функционалностинепрекъснато. Най-новите варианти на Tor2Mine, открити от изследователите, показват повишени възможности за откриване на укриване, могат да се разпространяват автоматично през пробитата мрежа и са по-трудни за пълно изкореняване от заразените устройства.

Новите варианти могат да деактивират избрани решения за защита от зловреден софтуер чрез скрипт PowerShell, да изпълнят основния полезен товар на миньор и да се опитат да получат идентификационни данни на администратор на Windowsедновременно. Последващото поведение на Tor2Mine се основава на това дали заплахата е получила административни привилегииуспешно, чрез събрани идентификационни данни:

1. Ако крипто-майнерът има административни идентификационни данни, той ще ги използва, за да установи привилегирован достъп, което му позволява да инсталира своите файлове за крипто копаене в системата. Tor2Mine също ще използва своите администраторски привилегии, за да се движи странично през мрежата, като търси подходящи машини и инсталира своите файлове на тях.
2. Ако заплахата не успее да получи администраторски права, тя все пак ще продължи да изпълнява своите полезни натоварвания за майнер. В този случай обаче миньорът се стартира дистанционно и безфайлово чрез команди, изпълнявани като планирани задачи. Трябва да се отбележи, че Tor2Mine ще се съхранява отдалечено, а не в компрометираната система.

Tor2Mine също така гарантира, че това е единствената заплаха, минаваща през мрежата, като изпълнява няколко скрипта, предназначени специално да убият процесите и задачите на други конкуриращи се крипто копачи или злонамерен софтуер за подстригване. Clippers са злонамерени заплахи, натоварени със задачата да събират адреси на криптовалута или да заменят легитимния адрес на портфейла на транзакция с такъв, който принадлежи на нападателите, така че парите да пристигат в сметка под техен контрол.

Изследователите отбелязват, че ако Tor2Mine не бъде премахнат от мрежатанапълно, може да продължи да заразява отново отделни системи, дори ако вече са били почистени.