Tor2Mine

Tor2Mine es una amenaza de minero criptográfico que secuestra los recursos de las computadoras comprometidas y los usa para extraer Monero, una de las criptomonedas más populares. La amenaza ha estado activa durante al menos dos años y en ese período se ha mejorado y equipado con nuevas funcionalidades.continuamente. Las últimas variantes de Tor2Mine detectadas por los investigadores exhiben mayores capacidades de detección de evasión, pueden propagarse automáticamente a través de la red violada y son más difíciles de erradicar por completo de los dispositivos infectados.

Las nuevas variantes pueden deshabilitar determinadas soluciones de protección contra malware a través de un script de PowerShell, ejecutar la carga útil principal del minero e intentar obtener las credenciales de administrador de Windows.simultaneamente. El comportamiento posterior de Tor2Mine se basa en si la amenaza ha obtenido privilegios administrativos.con éxito, a través de las credenciales recopiladas:

1. Si el cripto-minero tiene credenciales administrativas, las usará para establecer un acceso privilegiado que le permitirá instalar sus archivos de cripto-minería en el sistema. Tor2Mine también explotará sus privilegios de administrador para moverse lateralmente a través de la red buscando máquinas adecuadas e instalando sus archivos en ellas.
2. Si la amenaza no logra obtener privilegios de administrador, seguirá ejecutando sus cargas útiles de minero. Sin embargo, en este caso, el minero se inicia de forma remota y sin archivos mediante comandos que se ejecutan como tareas programadas. Cabe señalar que Tor2Mine se almacenará de forma remota y no en el sistema comprometido.

Tor2Mine también se asegura de que sea la única amenaza que corre a través de la red mediante la ejecución de varios scripts diseñados específicamente para eliminar los procesos y tareas de otros cripto-mineros competidores o malware clipper. Los Clippers son amenazas de malware encargadas de recopilar direcciones de criptomonedas o sustituir la dirección de billetera legítima de una transacción por una que pertenece a los atacantes para que el dinero llegue a una cuenta bajo su control.

Los investigadores señalan que si Tor2Mine no se elimina de la redcompletamente, podría continuar reinfectando los sistemas individuales incluso si ya se han limpiado.