Tor2Mine
Tor2Mine 是一种加密矿工威胁,它劫持受感染计算机的资源并使用它们来挖掘门罗币,这是一种更流行的加密货币。该威胁已活跃至少两年,在此期间已得到改进并配备了新功能不断。研究人员检测到的最新 Tor2Mine 变种表现出增强的规避检测能力,可以通过被破坏的网络自动传播,并且更难从受感染的设备中完全根除。
新变种可以通过 PowerShell 脚本禁用选定的恶意软件防护解决方案,执行矿工的主要负载,并尝试获取 Windows 管理员凭据同时。 Tor2Mine 的后续行为基于威胁是否获得了管理权限成功,通过收集的凭据:
- 如果加密矿工拥有管理凭据,它将使用它们来建立特权访问,从而允许它在系统上安装其加密挖掘文件。 Tor2Mine 还将利用其管理员权限通过搜索合适的机器并在其上安装文件来横向移动网络。
- 如果威胁未能获得管理员权限,它仍将继续执行其矿工有效载荷。但是,在这种情况下,矿工是通过作为计划任务运行的命令远程无文件启动的。应该注意的是,Tor2Mine 将被远程存储,而不是在受感染的系统上。
Tor2Mine 还通过执行几个专门设计用于杀死其他竞争加密矿工或剪刀恶意软件的进程和任务的脚本,确保它是通过网络运行的唯一威胁。 Clippers 是恶意软件威胁,其任务是收集加密货币地址或用属于攻击者的地址替换交易的合法钱包地址,以便资金到达他们控制的账户。
研究人员指出,如果 Tor2Mine 没有从网络中删除完全,即使它们已经被清除,它也可能继续重新感染单个系统。
