コイン マイナー

サイバー犯罪者は常に、お金を稼げる新しい方法を探しています。 仮想通貨とも呼ばれるデジタル通貨の増加に伴い、犯罪者は組織に侵入し、マルウェアを再構成してコインを密かにマイニングするユニークな機会を見ることができます。

コイン マイナーのしくみ

多くの感染は次の点から始めます。

  • マルウェアのインストールを試みる添付ファイルを含むメッセージをEmailします。

  • Web ブラウザーやその他のソフトウェアの脆弱性を使用してコイン マイナーをインストールしようとするエクスプロイト キットをホストしている Web サイト。

  • ユーザーが Web サイトを閲覧している間にスクリプトを実行することで、コンピューターの処理能力を利用している Web サイト。

マイニングは、ブロックチェーン台帳を維持するために必要な複雑な数学的計算を実行するプロセスです。 このプロセスではコインが生成されますが、大量のコンピューティング リソースが必要です。

コイン マイナーは本質的に悪意はありません。 一部の個人や組織は、正当なコイン マイニング操作のためにハードウェアと電力に投資しています。 ただし、他のユーザーは、コンピューティング能力の代替ソースを探し、企業ネットワークへの道を見つけようとします。 これらのコイン マイナーは、貴重なコンピューティング リソースを使い切るため、エンタープライズ環境では望まれていません。

サイバー犯罪者は、他のユーザーのコンピューティング リソースを犠牲にして、トロイの木馬を使用したマイナーを配布、インストール、実行するマルウェア キャンペーンを実行することで、利益を上げる機会を見ることができます。

ランサムウェアを配布することが知られている DDE の悪用により、マイナーが提供されるようになりました。

たとえば、トロイの木馬:Win32/Coinminer (SHA-256: 7213cbbb1a634d780f9bb861418eb262f58954e6e5dca09ca50c1e1e1324451293) として検出されたマルウェアのサンプルは、Exploit:O97M/DDEDownloader.PA によってインストールされます。 DDE エクスプロイトを含む Word 文書。

この悪用により、悪意のある PowerShell スクリプト (トロイの木馬:PowerShell/Maponeir.A) を実行するコマンドレットが起動されます。 これは、トロイの木馬にされたマイナー (マイナー XMRig の変更されたバージョン) をダウンロードし、Monero の暗号化をマイニングします。

コイン マイナーから保護する方法

望ましくない可能性があるアプリケーション (PUA) 検出を有効にします。 一部のコイン マイニング ツールはマルウェアと見なされず、PUA として検出されます。 PUA として検出された多くのアプリケーションは、マシンのパフォーマンスと従業員の生産性に悪影響を与える可能性があります。 エンタープライズ環境では、PUA 検出を有効にすることで、a不要なアプリケーション、激流ダウンローダー、コイン マイニングを停止できます。

コイン マイナーはさまざまな種類の攻撃で一般的なペイロードになっているため、 マルウェア感染を防ぐ方法に関する一般的なヒントを参照してください。

コインマイナーの詳細については、ブログ記事 「見えないリソースの盗難:仮想通貨マイナーの脅威の増加」を参照してください。