Tor2Mine

Tor2Mine is een cryptominer-bedreiging die de bronnen van gecompromitteerde computers kapt en deze gebruikt om te minen voor Monero, een van de meer populaire cryptocurrencies. De dreiging is minimaal twee jaar actief en is in die periode verbeterd en voorzien van nieuwe functionaliteitendoorlopend. De nieuwste Tor2Mine-varianten die door onderzoekers zijn gedetecteerd, vertonen verhoogde ontduikingsdetectiemogelijkheden, kunnen zich automatisch via het geschonden netwerk verspreiden en zijn moeilijker volledig uit te roeien van de geïnfecteerde apparaten.

De nieuwe varianten kunnen geselecteerde malwarebeschermingsoplossingen uitschakelen via een PowerShell-script, de belangrijkste payload van de miner uitvoeren en proberen om Windows-beheerdersreferenties te verkrijgentegelijkertijd. Het daaropvolgende gedrag van Tor2Mine is gebaseerd op de vraag of de dreiging beheerdersrechten heeft gekregenmet succes, via verzamelde inloggegevens:

1. Als de crypto-miner beheerdersreferenties heeft, zal hij deze gebruiken om geprivilegieerde toegang tot stand te brengen, waardoor hij zijn crypto-mining-bestanden op het systeem kan installeren. Tor2Mine zal ook zijn beheerdersrechten misbruiken om lateraal door het netwerk te gaan door te zoeken naar geschikte machines en de bestanden erop te installeren.
2. Als de dreiging er niet in slaagt om beheerdersrechten te verkrijgen, zal het toch doorgaan met het uitvoeren van zijn miner-payloads. In dit geval wordt de miner echter op afstand en zonder bestanden gestart via opdrachten die als geplande taken worden uitgevoerd. Opgemerkt moet worden dat Tor2Mine op afstand wordt opgeslagen en niet op het gecompromitteerde systeem.

Tor2Mine zorgt er ook voor dat het de enige bedreiging is die door het netwerk loopt door verschillende scripts uit te voeren die speciaal zijn ontworpen om de processen en taken van andere concurrerende crypto-miners of clipper-malware te doden. Clippers zijn malwarebedreigingen die zijn belast met het verzamelen van cryptocurrency-adressen of het vervangen van het legitieme portemonnee-adres van een transactie door een adres dat toebehoort aan de aanvallers, zodat het geld op een rekening komt die onder hun controle staat.

Onderzoekers merken op dat als Tor2Mine niet van het netwerk wordt verwijderdvolledig is, kan het individuele systemen opnieuw besmetten, zelfs als ze al zijn schoongemaakt.