Tor2Mine

Tor2Mine ist eine Krypto-Miner-Bedrohung, die die Ressourcen kompromittierter Computer kapert und sie zum Mining für Monero, eine der beliebtesten Kryptowährungen, verwendet. Die Bedrohung ist seit mindestens zwei Jahren aktiv und wurde in dieser Zeit ständig verbessert und mit neuen Funktionalitäten ausgestattet. Die neuesten Tor2Mine-Varianten, die von Forschern entdeckt wurden, weisen verbesserte Umgehungserkennungsfähigkeiten auf, können sich automatisch im angegriffenen Netzwerk verbreiten und sind schwieriger vollständig von den infizierten Geräten zu entfernen.

Die neuen Varianten können ausgewählte Malware-Schutzlösungen über ein PowerShell-Skript deaktivieren, die Hauptnutzlast des Miners ausführen und versuchen gleichzeitig, Windows-Administratoranmeldeinformationen zu erhalten. Das weitere Verhalten von Tor2Mine hängt davon ab, ob die Bedrohung Administratorrechte erfolgreich erlangt hat, über gesammelte Zugangsdaten:

1. Wenn der Krypto-Miner über administrative Anmeldeinformationen verfügt, verwendet er diese, um einen privilegierten Zugriff einzurichten, der es ihm ermöglicht, seine Krypto-Mining-Dateien auf dem System zu installieren. Tor2Mine wird auch seine Administratorrechte ausnutzen, um sich seitlich durch das Netzwerk zu bewegen, indem es nach geeigneten Maschinen sucht und seine Dateien darauf installiert.
2. Wenn die Bedrohung keine Administratorrechte erhält, führt sie dennoch ihre Miner-Nutzlasten aus. In diesem Fall wird der Miner jedoch remote und dateilos über Befehle initiiert, die als geplante Aufgaben ausgeführt werden. Es ist zu beachten, dass Tor2Mine remote und nicht auf dem kompromittierten System gespeichert wird.

Tor2Mine stellt auch sicher, dass es die einzige Bedrohung ist, die durch das Netzwerk läuft, indem mehrere Skripte ausgeführt werden, die speziell entwickelt wurden, um die Prozesse und Aufgaben anderer konkurrierender Krypto-Miner oder Clipper-Malware zu beenden. Clipper sind Malware-Bedrohungen, die damit beauftragt sind, Kryptowährungsadressen zu sammeln oder die legitime Wallet-Adresse einer Transaktion durch eine zu ersetzen, die den Angreifern gehört, damit das Geld auf einem Konto unter ihrer Kontrolle ankommt.

Forscher stellen fest, dass, wenn Tor2Mine nicht aus dem Netzwerk vollständig entfernt wird, könnte es einzelne Systeme weiter infizieren, auch solche, die bereits gereinigt wurden.