Tor2Mine
Tor2Mine er en crypto-miner-trussel, der kaprer ressourcerne på kompromitterede computere og bruger dem til at mine efter Monero, en af de mere populære kryptovalutaer. Truslen har været aktiv i mindst to år og er i den periode blevet forbedret og udstyret med nye funktionaliteterløbende. De seneste Tor2Mine-varianter opdaget af forskere udviser øgede evasion-detection-kapaciteter, kan spredes automatisk gennem det brudte netværk og er sværere at udrydde fuldstændigt fra de inficerede enheder.
De nye varianter kan deaktivere udvalgte malwarebeskyttelsesløsninger via et PowerShell-script, udføre minearbejderens primære nyttelast og forsøge at få Windows-administratorlegitimationsoplysningersamtidigt. Tor2Mines efterfølgende adfærd er baseret på, om truslen har opnået administrative privilegiermed succes via indsamlede legitimationsoplysninger:
- Hvis crypto-miner har administrative legitimationsoplysninger, vil den bruge dem til at etablere privilegeret adgang, så den kan installere sine crypto-mining-filer på systemet. Tor2Mine vil også udnytte sine administratorrettigheder til at bevæge sig sideværts gennem netværket ved at søge efter passende maskiner og installere dets filer på dem.
- Hvis truslen ikke opnår administratorrettigheder, vil den stadig fortsætte med at udføre sine minearbejder-nyttelaster. Men i dette tilfælde startes minearbejderen eksternt og filløst via kommandoer, der køres som planlagte opgaver. Det skal bemærkes, at Tor2Mine vil blive gemt eksternt og ikke på det kompromitterede system.
Tor2Mine sørger også for, at det er den eneste trussel, der løber gennem netværket, ved at udføre adskillige scripts, der er designet specifikt til at dræbe processer og opgaver hos andre konkurrerende krypto-minere eller clipper-malware. Clippers er malware-trusler, der har til opgave at indsamle cryptocurrency-adresser eller erstatte den legitime wallet-adresse for en transaktion med en, der tilhører angriberne, så pengene kommer ind på en konto under deres kontrol.
Forskere bemærker, at hvis Tor2Mine ikke fjernes fra netværketfuldstændigt, kan det fortsætte med at geninficere individuelle systemer, selvom de allerede er blevet renset.
