Tor2Mine
O Tor2Mine é uma ameaça que minera moeda digital e sequestra os recursos dos computadores comprometidos e os usa para minerar Monero, uma das cripto-moedas mais populares. A ameaça está ativa há pelo menos dois anos e nesse período foi aprimorada e equipada com novas funcionalidades continuamente. As variantes mais recentes do Tor2Mine detectadas pelos pesquisadores exibem recursos aumentados de detecção de evasão, podem se espalhar automaticamente pela rede violada e são mais difíceis de erradicar completamente dos dispositivos infectados.
As novas variantes podem desabilitar soluções de proteção contra malware selecionadas por meio de um script do PowerShell, executar a carga útil principal do minerador e tentar obter credenciais de administrador do Windowssimultaneamente. O comportamento subsequente do Tor2Mine é baseado em se a ameaça ganhou privilégios administrativos com sucesso, por meio de credenciais coletadas:
- Se o cripto-minerador tiver credenciais administrativas, ele as usará para estabelecer acesso privilegiado, permitindo-lhe instalar seus arquivos de cripto-mineração no sistema. O Tor2Mine também vai explorar seus privilégios de administrador para mover-se lateralmente pela rede, procurando por máquinas adequadas e instalando seus arquivos nelas.
- Se a ameaça não conseguir obter privilégios de administrador, ela continuará executando suas cargas de mineração. No entanto, neste caso, o minerador é iniciado remotamente e sem arquivo por meio de comandos executados como tarefas agendadas. Deve-se notar que o Tor2Mine será armazenado remotamente e não no sistema comprometido.
O Tor2Mine também se certifica de que é a única ameaça em execução na rede, executando vários scripts projetados especificamente para eliminar os processos e tarefas de outros m,ineradores de moedas digitais concorrentes ou um malware clipper. Clippers são ameaças de malware encarregadas de coletar endereços de moedas digitais ou substituir o endereço de carteira legítimo de uma transação por um que pertença aos invasores, para que o dinheiro chegue em uma conta sob seu controle.
Os pesquisadores observaram que se o Tor2Mine não for removido da rede completamente, ele pode continuar a reinfectar sistemas individuais, mesmo que eles já tenham sido limpos.
