Tor2Mine
Tor2Mineは、侵害されたコンピューターのリソースをハイジャックし、それらを使用して、最も人気のある暗号通貨の1つであるMoneroをマイニングする暗号マイナーの脅威です。脅威は少なくとも2年間アクティブであり、その期間に改善され、新しい機能が装備されています継続的に。研究者によって検出された最新のTor2Mineバリアントは、回避検出機能の向上を示し、侵害されたネットワークを介して自動的に拡散する可能性があり、感染したデバイスから完全に根絶することは困難です。
新しいバリアントは、PowerShellスクリプトを介して選択したマルウェア保護ソリューションを無効にし、マイナーのメインペイロードを実行し、Windows管理者の資格情報を取得しようとします。同時に。 Tor2Mineのその後の動作は、脅威が管理者権限を取得したかどうかに基づいています。収集された資格情報を介して正常に:
- クリプトマイナーが管理者資格を持っている場合、クリプトマイナーはそれらを使用して特権アクセスを確立し、クリプトマイニングファイルをシステムにインストールできるようにします。 Tor2Mineはまた、適切なマシンを検索してそのファイルをインストールすることにより、管理者権限を利用してネットワークを横方向に移動します。
- 脅威が管理者権限の取得に失敗した場合でも、マイナーペイロードの実行に進みます。ただし、この場合、マイナーは、スケジュールされたタスクとして実行されるコマンドを介してリモートでファイルレスで開始されます。 Tor2Mineは、侵害されたシステムではなく、リモートに保存されることに注意してください。
Tor2Mineは、他の競合するクリプトマイナーまたはクリッパーマルウェアのプロセスとタスクを強制終了するように特別に設計されたいくつかのスクリプトを実行することにより、ネットワークを介して実行される唯一の脅威であることも確認します。クリッパーは、暗号通貨アドレスを収集するか、トランザクションの正当なウォレットアドレスを攻撃者に属するものに置き換えて、攻撃者の管理下にあるアカウントにお金が届くようにするマルウェアの脅威です。
研究者は、Tor2Mineがネットワークから削除されていない場合に注意します完全に、システムがすでにクリーニングされている場合でも、個々のシステムに再感染し続ける可能性があります。
