Tor2Mine

Tor2Mine - это угроза криптомайнеров, которая захватывает ресурсы скомпрометированных компьютеров и использует их для майнинга Monero, одной из самых популярных криптовалют. Угроза существует не менее двух лет, и за это время она была улучшена и оснащена новыми функциями.непрерывно. Последние версии Tor2Mine, обнаруженные исследователями, демонстрируют повышенные возможности обнаружения уклонения, могут автоматически распространяться через взломанную сеть, и их сложнее полностью искоренить на зараженных устройствах.

Новые варианты могут отключить некоторые решения для защиты от вредоносных программ с помощью сценария PowerShell, выполнить основную полезную нагрузку майнера и попытаться получить учетные данные администратора Windows.одновременно. Последующее поведение Tor2Mine зависит от того, получила ли угроза административные привилегии.успешно, через собранные учетные данные:

1. Если у криптомайнера есть учетные данные администратора, он будет использовать их для установления привилегированного доступа, позволяющего ему устанавливать файлы крипто-майнинга в системе. Tor2Mine также будет использовать свои права администратора для горизонтального перемещения по сети, ища подходящие машины и устанавливая на них свои файлы.
2. Если угрозе не удается получить права администратора, она все равно продолжит выполнение своих полезных данных майнера. Однако в этом случае майнер запускается удаленно и без файлов с помощью команд, выполняемых как запланированные задачи. Следует отметить, что Tor2Mine будет храниться удаленно, а не в скомпрометированной системе.

Tor2Mine также гарантирует, что это единственная угроза, проходящая через сеть, путем выполнения нескольких скриптов, специально разработанных для уничтожения процессов и задач других конкурирующих криптомайнеров или вредоносных программ-клиперов. Клипперы - это вредоносные программы, которым поручено собирать адреса криптовалюты или заменять законный адрес кошелька транзакции адресом, принадлежащим злоумышленникам, чтобы деньги поступали на счет, находящийся под их контролем.

Исследователи отмечают, что если Tor2Mine не будет удален из сетиполностью, он может продолжить повторное заражение отдельных систем, даже если они уже были очищены.