Tor2Mine
Tor2Mine عبارة عن تهديد من عمال المناجم المشفرة يقوم باختطاف موارد أجهزة الكمبيوتر المعرضة للخطر ويستخدمها للتعدين من أجل Monero ، أحد أكثر العملات المشفرة شيوعًا. ظل التهديد نشطًا لمدة عامين على الأقل وفي تلك الفترة تم تحسينه وتجهيزه بوظائف جديدةبشكل متواصل. تُظهر أحدث متغيرات Tor2Mine التي اكتشفها الباحثون قدرات متزايدة على اكتشاف التهرب ، ويمكن أن تنتشر تلقائيًا عبر الشبكة المخترقة ، ويصعب القضاء عليها تمامًا من الأجهزة المصابة.
يمكن للمتغيرات الجديدة تعطيل تحديد حلول الحماية من البرامج الضارة عبر برنامج PowerShell النصي ، وتنفيذ الحمولة الرئيسية لعامل التعدين ، ومحاولة الحصول على بيانات اعتماد مسؤول Windowsالوقت ذاته. يعتمد السلوك اللاحق لـ Tor2Mine على ما إذا كان التهديد قد اكتسب امتيازات إداريةبنجاح ، عبر بيانات الاعتماد التي تم جمعها:
- إذا كان لدى المُعدِّن المشفر بيانات اعتماد إدارية ، فسيستخدمها لإنشاء وصول مميز يسمح له بتثبيت ملفات التنقيب عن العملات المشفرة على النظام. سيستغل Tor2Mine أيضًا امتيازات المسؤول الخاصة به للتنقل أفقيًا عبر الشبكة من خلال البحث عن الأجهزة المناسبة وتثبيت ملفاتها عليها.
- إذا فشل التهديد في الحصول على امتيازات المسؤول ، فسيستمر في تنفيذ حمولات عامل التعدين الخاص به. ومع ذلك ، في هذه الحالة ، يتم بدء تشغيل المُعدِّن عن بُعد وبدون ملفات عبر تشغيل الأوامر كمهام مجدولة. تجدر الإشارة إلى أنه سيتم تخزين Tor2Mine عن بُعد وليس على النظام المخترق.
يتأكد Tor2Mine أيضًا من أنه التهديد الوحيد الذي يتم تشغيله عبر الشبكة من خلال تنفيذ العديد من البرامج النصية المصممة خصيصًا لقتل عمليات ومهام معدِّني التشفير المتنافسين الآخرين أو البرامج الضارة المقص. Clippers هي تهديدات البرامج الضارة المكلفة بجمع عناوين العملات المشفرة أو استبدال عنوان المحفظة الشرعي للمعاملة بعنوان يخص المهاجمين حتى تصل الأموال إلى حساب تحت سيطرتهم.
يلاحظ الباحثون أنه إذا لم تتم إزالة Tor2Mine من الشبكةتمامًا ، يمكن أن تستمر في إعادة إصابة الأنظمة الفردية حتى لو تم تنظيفها بالفعل.
