Tor2Mine

Tor2Mine è una minaccia di criptovalute che dirotta le risorse dei computer compromessi e le utilizza per estrarre Monero, una delle criptovalute più popolari. La minaccia è attiva da almeno due anni e in quel periodo è stata migliorata e dotata di nuove funzionalitàcontinuamente. Le ultime varianti di Tor2Mine rilevate dai ricercatori mostrano maggiori capacità di rilevamento dell'evasione, possono diffondersi automaticamente attraverso la rete violata e sono più difficili da eliminare completamente dai dispositivi infetti.

Le nuove varianti possono disabilitare determinate soluzioni di protezione da malware tramite uno script PowerShell, eseguire il payload principale del miner e provare a ottenere le credenziali di amministratore di Windowscontemporaneamente. Il successivo comportamento di Tor2Mine si basa sul fatto che la minaccia abbia ottenuto privilegi amministrativicon successo, tramite le credenziali raccolte:

1. Se il cripto-minatore ha credenziali amministrative, le utilizzerà per stabilire un accesso privilegiato che gli consentirà di installare i suoi file di cripto-estrazione sul sistema. Tor2Mine sfrutterà anche i suoi privilegi di amministratore per spostarsi lateralmente attraverso la rete cercando macchine adatte e installando i suoi file su di esse.
2. Se la minaccia non riesce a ottenere i privilegi di amministratore, continuerà comunque a eseguire i suoi payload miner. Tuttavia, in questo caso, il miner viene avviato in remoto e senza file tramite comandi eseguiti come attività pianificate. Va notato che Tor2Mine verrà archiviato in remoto e non sul sistema compromesso.

Tor2Mine si assicura anche che sia l'unica minaccia che attraversa la rete eseguendo diversi script progettati specificamente per uccidere i processi e le attività di altri cripto-minatori concorrenti o malware clipper. I clipper sono minacce malware incaricate di raccogliere indirizzi di criptovaluta o sostituire l'indirizzo del portafoglio legittimo di una transazione con uno che appartiene agli aggressori in modo che il denaro arrivi in un conto sotto il loro controllo.

I ricercatori notano che se Tor2Mine non viene rimosso dalla retecompletamente, potrebbe continuare a reinfettare i singoli sistemi anche se già puliti.