Tor2Mine

Tor2Mine est une menace de crypto-mineur qui pirate les ressources des ordinateurs compromis et les utilise pour exploiter Monero, l'une des crypto-monnaies les plus populaires. La menace est active depuis au moins deux ans et au cours de cette période, elle a été améliorée et dotée de nouvelles fonctionnalitésen continu. Les dernières variantes de Tor2Mine détectées par les chercheurs présentent des capacités de détection d'évasion accrues, peuvent se propager automatiquement à travers le réseau violé et sont plus difficiles à éradiquer complètement des appareils infectés.

Les nouvelles variantes peuvent désactiver certaines solutions de protection contre les logiciels malveillants via un script PowerShell, exécuter la charge utile principale du mineur et essayer d'obtenir les informations d'identification de l'administrateur Windowssimultanément. Le comportement ultérieur de Tor2Mine est basé sur le fait que la menace a acquis des privilèges administratifsavec succès, via les informations d'identification collectées :

  1. Si le crypto-mineur dispose d'informations d'identification administratives, il les utilisera pour établir un accès privilégié lui permettant d'installer ses fichiers de crypto-minage sur le système. Tor2Mine exploitera également ses privilèges d'administrateur pour se déplacer latéralement sur le réseau en recherchant des machines appropriées et en installant ses fichiers dessus.
  2. Si la menace ne parvient pas à obtenir les privilèges d'administrateur, elle continuera à exécuter ses charges utiles de mineur. Cependant, dans ce cas, le mineur est lancé à distance et sans fichier via des commandes exécutées en tant que tâches planifiées. Il convient de noter que Tor2Mine sera stocké à distance et non sur le système compromis.

Tor2Mine s'assure également qu'il s'agit de la seule menace qui traverse le réseau en exécutant plusieurs scripts conçus spécifiquement pour tuer les processus et les tâches d'autres crypto-mineurs ou logiciels malveillants clipper concurrents. Les clippers sont des menaces de logiciels malveillants chargées de collecter des adresses de crypto-monnaie ou de remplacer l'adresse de portefeuille légitime d'une transaction par une adresse appartenant aux attaquants afin que l'argent arrive sur un compte sous leur contrôle.

Les chercheurs notent que si Tor2Mine n'est pas supprimé du réseaucomplètement, il pourrait continuer à réinfecter des systèmes individuels même s'ils ont déjà été nettoyés.

Tendance

Le plus regardé

Chargement...