Tor2Mine
Tor2Mine är ett krypto-miner-hot som kapar resurserna från komprometterade datorer och använder dem för att bryta efter Monero, en av de mer populära kryptovalutorna. Hotet har varit aktivt i minst två år och har under den perioden förbättrats och utrustats med nya funktionerkontinuerligt. De senaste Tor2Mine-varianterna som upptäckts av forskare uppvisar ökade möjligheter att upptäcka undanflykter, kan spridas automatiskt genom det brutna nätverket och är svårare att eliminera helt från de infekterade enheterna.
De nya varianterna kan inaktivera utvalda lösningar för skydd mot skadlig programvara via ett PowerShell-skript, köra gruvarbetarens huvudsakliga nyttolast och försöka få Windows-administratörsuppgiftersamtidigt. Tor2Mines efterföljande beteende baseras på om hotet har fått administrativa privilegierframgångsrikt, via insamlade autentiseringsuppgifter:
- Om crypto-miner har administrativa referenser kommer den att använda dem för att etablera privilegierad åtkomst så att den kan installera sina crypto-mining-filer på systemet. Tor2Mine kommer också att utnyttja sina administratörsbehörigheter för att flytta i sidled genom nätverket genom att söka efter lämpliga maskiner och installera sina filer på dem.
- Om hotet misslyckas med att erhålla administratörsbehörigheter kommer det fortfarande att fortsätta att köra sina miner-nyttolaster. Men i det här fallet initieras gruvarbetaren på distans och fillöst via kommandon som körs som schemalagda uppgifter. Det bör noteras att Tor2Mine kommer att lagras på distans och inte på det komprometterade systemet.
Tor2Mine ser också till att det är det enda hotet som körs genom nätverket genom att exekvera flera skript som utformats specifikt för att döda processerna och uppgifterna hos andra konkurrerande krypto-miners eller clipper malware. Clippers är skadliga hot som har till uppgift att samla in kryptovalutaadresser eller ersätta den legitima plånboksadressen för en transaktion med en som tillhör angriparna så att pengarna kommer in på ett konto under deras kontroll.
Forskare noterar att om Tor2Mine inte tas bort från nätverketfullständigt kan det fortsätta att återinfektera enskilda system även om de redan har rengjorts.
