Tor2Mine
Tor2Mine er en kryptogruve-trussel som kaprer ressursene til kompromitterte datamaskiner og bruker dem til å mine etter Monero, en av de mer populære kryptovalutaene. Trusselen har vært aktiv i minst to år og har i den perioden blitt forbedret og utstyrt med nye funksjonerkontinuerlig. De siste Tor2Mine-variantene oppdaget av forskere viser økte evner til å oppdage unndragelse, kan spres automatisk gjennom det brutte nettverket og er vanskeligere å eliminere fullstendig fra de infiserte enhetene.
De nye variantene kan deaktivere utvalgte malware-beskyttelsesløsninger via et PowerShell-skript, utføre hovednyttelasten til gruvearbeideren og prøve å få Windows-administratorlegitimasjonsamtidig. Den påfølgende oppførselen til Tor2Mine er basert på om trusselen har fått administrative privilegiervellykket, via innsamlet legitimasjon:
- Hvis crypto-miner har administrativ legitimasjon, vil den bruke dem til å etablere privilegert tilgang som lar den installere sine crypto-mining-filer på systemet. Tor2Mine vil også utnytte sine administratorrettigheter til å bevege seg sideveis gjennom nettverket ved å søke etter passende maskiner og installere filene på dem.
- Hvis trusselen ikke klarer å oppnå administratorrettigheter, vil den fortsatt fortsette med å utføre gruvelastene. Men i dette tilfellet startes gruvearbeideren eksternt og filløst via kommandoer som kjøres som planlagte oppgaver. Det skal bemerkes at Tor2Mine vil bli lagret eksternt og ikke på det kompromitterte systemet.
Tor2Mine sørger også for at det er den eneste trusselen som kjører gjennom nettverket ved å kjøre flere skript designet spesielt for å drepe prosessene og oppgavene til andre konkurrerende krypto-gruvearbeidere eller clipper malware. Clippers er malware-trusler som har til oppgave å samle kryptovalutaadresser eller erstatte den legitime lommebokadressen til en transaksjon med en som tilhører angriperne, slik at pengene kommer inn på en konto under deres kontroll.
Forskere bemerker at hvis Tor2Mine ikke fjernes fra nettverketfullstendig, kan det fortsette å infisere individuelle systemer selv om de allerede er renset.
