Tor2Mine
Tor2Mine es una amenaza de minero criptográfico que secuestra los recursos de las computadoras comprometidas y los usa para extraer Monero, una de las criptomonedas más populares. La amenaza ha estado activa durante al menos dos años y en ese período se ha mejorado y equipado con nuevas funcionalidades.continuamente. Las últimas variantes de Tor2Mine detectadas por los investigadores exhiben mayores capacidades de detección de evasión, pueden propagarse automáticamente a través de la red violada y son más difíciles de erradicar por completo de los dispositivos infectados.
Las nuevas variantes pueden deshabilitar determinadas soluciones de protección contra malware a través de un script de PowerShell, ejecutar la carga útil principal del minero e intentar obtener las credenciales de administrador de Windows.simultaneamente. El comportamiento posterior de Tor2Mine se basa en si la amenaza ha obtenido privilegios administrativos.con éxito, a través de las credenciales recopiladas:
- Si el cripto-minero tiene credenciales administrativas, las usará para establecer un acceso privilegiado que le permitirá instalar sus archivos de cripto-minería en el sistema. Tor2Mine también explotará sus privilegios de administrador para moverse lateralmente a través de la red buscando máquinas adecuadas e instalando sus archivos en ellas.
- Si la amenaza no logra obtener privilegios de administrador, seguirá ejecutando sus cargas útiles de minero. Sin embargo, en este caso, el minero se inicia de forma remota y sin archivos mediante comandos que se ejecutan como tareas programadas. Cabe señalar que Tor2Mine se almacenará de forma remota y no en el sistema comprometido.
Tor2Mine también se asegura de que sea la única amenaza que corre a través de la red mediante la ejecución de varios scripts diseñados específicamente para eliminar los procesos y tareas de otros cripto-mineros competidores o malware clipper. Los Clippers son amenazas de malware encargadas de recopilar direcciones de criptomonedas o sustituir la dirección de billetera legítima de una transacción por una que pertenece a los atacantes para que el dinero llegue a una cuenta bajo su control.
Los investigadores señalan que si Tor2Mine no se elimina de la redcompletamente, podría continuar reinfectando los sistemas individuales incluso si ya se han limpiado.