ソフォスは、Tor2Mine クリプトマイナーの新しい亜種について説明します。これらの新しい亜種は、回避、持続性、および伝播機能が改善されています。 彼がネットワークで見つかった場合、通常、彼は一人ではありません。
ソフォスの分析 「Tor2Mine マイナーの XNUMX つのフレーバーは、PowerShell、VBScript を使用してネットワークを深く掘り下げます」 マイナーが検出を回避し、ターゲット ネットワーク全体に自動的に拡散し、感染したシステムからの削除がますます困難になる様子を示しています。 Tor2Mine は、少なくとも XNUMX 年間活動している Monero マイナーです。
Monero マイナー Tor2Mine が自動的に拡散
調査の中で、ソフォスは、マルウェア対策保護を無効にし、マイナーのペイロードを実行し、Windows 管理者の資格情報を盗もうとする PowerShell スクリプトを含むマイナーの新しい亜種について説明しています。 その後どうなるかは、サイバー犯罪者が盗んだ資格情報を使用して管理者権限を取得できるかどうかによって異なります。 このプロセスは、調査したすべてのバリアントで同じです。
たとえば、攻撃者が管理者の資格情報を取得できた場合、マイニング ファイルをインストールするために必要な特権アクセスを保護できます。 また、マイニング ファイルをインストールする他のマシンをネットワークで検索することもできます。 これにより、Tor2Mine がネットワーク上のコンピューターに広がり、ネストすることが可能になります。
Tor2Mine は計算能力を求めています
攻撃者が管理者権限を取得できなくても、Tor2Mine はスケジュールされたタスクとして実行されるコマンドを使用して、ファイルなしでマイナーをリモートで実行できます。 この場合、マイニング ソフトウェアは侵害されたコンピュータではなく、リモートに保存されます。
マルウェア対策保護をオフにする
すべての亜種に共通しているのは、マルウェア対策保護をオフにして、同じマイニング コードをインストールしようとすることです。 いずれの場合も、マイナーはマルウェアから保護されるか、ネットワークから完全に削除されるまで、ネットワーク上のシステムに感染し続けます。 ソフォスの研究者は、さまざまなプロセスやタスクを強制終了するスクリプトも発見しました。 競合するクリプトマイナーや暗号通貨ウォレットのアドレスを盗むクリッパー マルウェアなど、ほぼすべてがクライムウェアに関連しています。
「マイナーは、サイバー犯罪者が脆弱性をデジタル キャッシュに変換するための低リスクの方法です。彼らのキャッシュ フローに対する最大のリスクは、競合するマイナーが同じ脆弱なサーバーを発見することです」と、ソフォスの上級脅威研究員であるショーン ギャラガー (Sean Gallagher) は述べています。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。