Tor2Mine
Tor2Mine je hrozba krypto-těžařů, která unáší zdroje kompromitovaných počítačů a používá je k těžbě Monero, jedné z nejpopulárnějších kryptoměn. Hrozba je aktivní minimálně dva roky a za tu dobu byla vylepšena a vybavena novými funkcionalitaminepřetržitě. Nejnovější varianty Tor2Mine detekované výzkumníky vykazují zvýšenou schopnost detekce úniků, mohou se automaticky šířit narušenou sítí a je těžší je úplně vymýtit z infikovaných zařízení.
Nové varianty mohou deaktivovat vybraná řešení ochrany před malwarem prostřednictvím skriptu PowerShell, spustit hlavní užitečné zatížení těžaře a pokusit se získat pověření správce systému Windows.zároveň. Následné chování Tor2Mine je založeno na tom, zda hrozba získala administrátorská oprávněníúspěšně, prostřednictvím shromážděných přihlašovacích údajů:
- Pokud má krypto-těžař pověření správce, použije je k vytvoření privilegovaného přístupu, který mu umožní instalovat jeho soubory pro těžbu kryptoměn do systému. Tor2Mine také využije svá administrátorská práva k laterálnímu pohybu po síti vyhledáním vhodných strojů a instalací svých souborů na ně.
- Pokud se hrozbě nepodaří získat administrátorská oprávnění, bude stále pokračovat ve spouštění svých těžařských dat. V tomto případě se však těžař spouští vzdáleně a bez souborů pomocí příkazů spouštěných jako naplánované úlohy. Je třeba poznamenat, že Tor2Mine bude uložen vzdáleně a ne na kompromitovaném systému.
Tor2Mine také zajišťuje, že je jedinou hrozbou procházející sítí spuštěním několika skriptů navržených speciálně k zabíjení procesů a úkolů jiných konkurenčních krypto-těžařů nebo malwaru clipper. Clippers jsou malwarové hrozby, jejichž úkolem je shromažďovat adresy kryptoměn nebo nahrazovat legitimní adresu peněženky transakce adresou, která patří útočníkům, aby peníze dorazily na účet pod jejich kontrolou.
Výzkumníci poznamenávají, že pokud Tor2Mine není odstraněn ze sítěúplně, mohl by pokračovat v reinfekci jednotlivých systémů, i když již byly vyčištěny.
