Tor2Mine
Tor2Mine 是一種加密礦工威脅,它劫持受感染計算機的資源並使用它們來挖掘門羅幣,這是一種更流行的加密貨幣。該威脅已活躍至少兩年,在此期間已得到改進並配備了新功能不斷。研究人員檢測到的最新 Tor2Mine 變種表現出增強的規避檢測能力,可以通過被破壞的網絡自動傳播,並且更難從受感染的設備中完全根除。
新變種可以通過 PowerShell 腳本禁用選定的惡意軟件防護解決方案,執行礦工的主要負載,並嘗試獲取 Windows 管理員憑據同時。 Tor2Mine 的後續行為基於威脅是否獲得了管理權限成功,通過收集的憑據:
- 如果加密礦工擁有管理憑據,它將使用它們來建立特權訪問,從而允許它在系統上安裝其加密挖掘文件。 Tor2Mine 還將利用其管理員權限通過搜索合適的機器並在其上安裝文件來橫向移動網絡。
- 如果威脅未能獲得管理員權限,它仍將繼續執行其礦工有效載荷。但是,在這種情況下,礦工是通過作為計劃任務運行的命令遠程無文件啟動的。應該注意的是,Tor2Mine 將被遠程存儲,而不是在受感染的系統上。
Tor2Mine 還通過執行幾個專門設計用於殺死其他競爭加密礦工或剪刀惡意軟件的進程和任務的腳本,確保它是通過網絡運行的唯一威脅。 Clippers 是惡意軟件威脅,其任務是收集加密貨幣地址或用屬於攻擊者的地址替換交易的合法錢包地址,以便資金到達他們控制的賬戶中。
研究人員指出,如果 Tor2Mine 沒有從網絡中刪除完全,即使它們已經被清除,它也可能繼續重新感染單個系統。
