Bitcoin Mining-Botnet nutzt Twitter als „Vertriebsplattform“

Originalartikel von Paul Pajares, Fraud Analyst, und Karl Dominguez, Threat Response Engineer

Quelle: flickr

Bereits vor ein paar Tagen hatte Trend Micro ein Botnet entdeckt, dass mithilfe des Schädlings BKDR_BTMINE.MNR Systeme in unfreiwillige Bitcoin Miner verwandelt und deren Ressourcen dann dazu missbraucht, um Bitcoin-Sperren aufzuheben und eine größere Menge der digitalen Währung zu generieren.

Bitcoins stellen eine virtuelle Währung, also digitale Münzen, dar, die über Peer-to-Peer-Netze (P2P) für Zahlungszwecke ausgetauscht werden können. Sie werden über das Internet mithilfe von kostenlosen Bitcoin-Miner-Anwendungen generiert. Die digitalen Münzen haben derzeit einen Gegenwert von über acht Dollar das Stück, Tendenz steigend dank wachsender Beliebtheit dieser Zahlungsart über das Internet. Schließlich sind die Gebühren dafür geringer als bei Transaktionen über eine Bank und die Überweisungen lassen sich anonym von überall durchführen. Dass Kriminelle diese potenzielle neue Einnahmequelle nutzen wollen ist klar, und wir  müssen uns voraussichtlich auf immer mehr Bitcoin Mining-Schädlinge einstellen.

Die Bitcoin-Sperren, so genannte „Blocks“ stellen ein komplexes kryptografisches System dar. Das Lösen einer solchen Sperre ergibt derzeit 50 Bitcoin, und sie werden jedes Mal erzeugt, wenn eine Bitcoin-Tansaktion durchgeführt wurde. Das Lösen dieser Blocks, „Mining“ genannt, funktioniert nur mit Gewalt und verschlingt hohe Ressourcen des Systems. Deshalb werden Mining-Pools gebildet. Die “Belohnung” entspricht dann dem geleisteten Beitrag zur Lösung. Lösen die Angreifer einen solchen Block, so gehören die generierten Bitcoins ihnen.

Außerdem umfasst die Malware von eine Komponente (BKDR_BTMINE.DDOS), die DDoS-Angriffe (Distributed Denial of Service) auf Zielserver durchführen kann, etwa auf Konkurrenz-Miner. Die Malware versucht auch mit einer langen Liste von IP-Adressen (derzeit sind etwa 2000 fest eingebunden) zu kommunizieren.

Einen der Wege, Rechner für das Botnetz zu kapern, hat Trend Micro nun in Twitter entdeckt. Es sind infizierte shortened URLs auf Twitter (http://t.co). Die Links verweisen auf eine JPEG-Datei auf einer Facebook-Domäne. Doch statt eines Bildes verbirgt sich dahinter eine ausführbare Datei. Seit dem 2. September sind bereits 600 Tweets diesen Link mit dem Text “hahaha!!!” weitergeleitet worden. Derzeit geht es hauptsächlich um Twitter-User in Indonesien, doch das kann sich schnell ändern.

Um die User dazu zu verleiten, auf die URL zu klicken, fügten die Kriminellen Facebook.com in den Link mit der bösartigen Datei ein. Der Link führt zu facebook.com.{BLOCKED}e-505.tk, wo die ausführbare Datei http://{BLOCKED}f.by /images/news/Photo-G05971.jpeg.exe liegt. Das Executable erzeugt unter anderem einen Bitcoin-Miner.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*