Bitcoin-Mining-Schädling tarnt sich als Trend Micro-Produktkomponente

Originalartikel von Trend Micro

Malware-Schreiber haben sich eine Vielfalt sozialer Engineering-Taktiken ausgedacht, um ihre Opfer zu ködern. Nun haben die Sicherheitsexperten von Trend Micro einen Trojaner ausgemacht, der sich als Trend Micro-Produktkomponente tarnt, um Nutzer dazu zu verleiten, ihn herunterzuladen und auszuführen.

Die Forscher stießen auf eine Datei mit den folgenden Eigenschaften:


Für das ungeübte Auge kann die Datei als Trend Micro-Komponente durchgehen. Erst die Analyse zeigte, dass es sich um einen getarnten Trojaner (TROJ_RIMECUD.AJL) handelt, dessen nachgeahmte Trend Micro-Eigenschaften dazu dienen sollen, nichts ahnende Nutzer zu täuschen.

Führt ein Nutzer TROJ_RIMECUD.AJL aus, so erzeugt der Schädling den Prozess svchost.exe, wobei der Schadcode eingeschleust wird. Danach lädt die Malware ein Komponentenpaket herunter:


Dieses Package enthält eine Bitcoin-Miner-Anwendung von Ufasoft. Es handelt sich dabei um HKTL_BITCOINMINE.

Bitcoin stellt eine digitale Währung dar, die für die Online-Bezahlung in bestimmten Transaktionen eingesetzt werden kann. Die Angriff hat einen aktuellen Bezug, denn Bitcoin Central hat die Genehmigung per Gesetz erhalten, als Bank zu agieren, in der ein Umtausch von Euro und Bitcoins möglich ist.

Während der letzten Jahre hat es schon Fälle gegeben, in denen Systeme mit Bitcoin-Mining-Schädlingen infiziert und damit zu „willenlosen Minern“ wurden. Außer dass die Miner Profite für ihre Autoren generieren, verbrauchen sie auch zu viele Ressourcen auf dem Opfersystem. Deshalb ist es empfehlenswert, bei einer plötzliche Systemverlangsamung die laufenden Prozesse zu prüfen und nach unbekannten laufenden Anwendungen zu suchen. Die Ursache für den Abfall könnte eine Infektion mit einem Bitcoin-Miner sein.

Um auf diese Taktik nicht hereinzufallen, müssen Nutzer besonders vorsichtig sein, wenn sie Anwendungen oder im Internet gefundene Dateien herunterladen. Noch besser ist es, keine unbekannten Webseiten aufzurufen oder Werbung und verkürzte URLs anzuklicken, die in Mailnachrichten eingebettet sind.

Weitere Informationen zu der Bedrohung, die Bitcoin-Mining-Anwendungen darstellen gibt es in den Blog-Einträgen:

Neue Malware kümmert sich um Bitcoin Miner

Für eine Handvoll Bitcoins

Bitcoin Mining-Botnet nutzt Twitter als „Vertriebsplattform“

Das Trend Micro Smart Protection Network entdeckt und entfernt die Schädlinge TROJ_RIMECUD.AJL und HKTL_BITCOINMINE von den Anwendersystemen.

 

Ein Gedanke zu „Bitcoin-Mining-Schädling tarnt sich als Trend Micro-Produktkomponente

  1. kaitomori

    Thank you for the warning on this. It’s important that people get the word that this is a piece of Malware and not an official update from Trend Micro.

    Dankeschun.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*