Kryptowährungs-Malware wird im Untergrund angeboten

Originalbeitrag von Fernando Mercês, Senior Threat Researcher

Kryptowährungen geraten immer wieder in den Schlagzeilen, und manche Regierungen arbeiten an der Regulierung der daran beteiligten Transaktionen. Andere wiederum möchten die damit verbundenen Mining-Aktivitäten insgesamt stoppen. Cyberkriminelle sind sehr rege am Kryptowährungs-Mining beteiligt. Ihre Tätigkeiten reichen vom Missbrauch der Graphics Processing Units (GPUs) der Verbraucher-Geräte bis zu dem der Mobilgeräte. Mittlerweile gibt es auch im cyberkriminellen Untergrund so viele Kryptowährungs-Malware-Angebote, dass es auch Kriminellen schwer fallen muss zu entscheiden, welches das Beste ist. Kryptomalware hat ein klares Ziel, und zwar aus Kryptowährungstransaktionen Profit zu schlagen. Dies lässt sich über zwei verschiedene Methoden erreichen: Diebstahl von Kryptowährung und wiederholtes Mining auf den Geräten der Opfer (ohne dass diese es mitbekommen), auch Cryptojacking genannt.

Cryptomalware kann verschiedene Formen annehmen, von Client-seitigen Web Skripts bis zu mobilen Anwendungen. Infolge der Verbreitung von Online-Diensten, die den Mining-Prozess vereinfachen, ist eine Zunahme webbasierter, Client Mining-Malware in JavaScript zu beobachten. Diese Bedrohung ist nicht auf Computer beschränkt, praktisch jedes mit dem Internet verbundene Gerät kann Teil eines Mining-Botnets werden. Kriminelle müssen lediglich den nötigen Code schreiben – und sie tun dies bereits.

Der Betrieb der üblichen Kryptowährungs-Mining Malware funktioniert folgendermaßen:

  1. Dropper Code läuft auf dem Gerät des Opfers ohne dessen Einwilligung, sei es über Skripts oder richtige Executables. Zu diesem Zweck könnten Cyberkriminelle exponierte Computer-Infrastrukturen angreifen, Phishing-Angriffe lancieren oder Tools wie Browser Extensions, mobile Apps oder Instant Messaging auf bösartige Weise einsetzen.
  2. Miner Code läuft auf dem Gerät des Opfers und beginnt dessen Computerleistung für die Berechnung von Hashes zu nutzen. Hier könnte das Opfer einen Leistungsabfall mitbekommen.
  3. Die Ergebnisse der Berechnungen werden an den Angreifer direkt zurückgeschickt oder an den Mining Pool, sei er bösartig (aufgesetzt lediglich zur Unterstützung von Cyberkriminalität) oder nicht. Der Angreifer konvertiert dann die Ergebnisse in Kryptowährung.

Kryptowährungs-Diebstahl-Malware unterscheidet sich von Mining-Malware in folgenden Punkten:

  1. Der bösartige Code kann an lokalen Speicherorten (Textdokumenten, Konfigurationsdateien usw.) nach Wallet-Adressen suchen und den Hauptspeicher des Geräts monitoren, einschließlich des Clipboards. Sollte ein Opfer eine Wallet-Adresse kopieren und einfügen, kann die Malware diese Adresse durch die eigene ersetzen. Dieses Verhalten erinnert an die Broban Malware, die ähnliche Techniken nutzte, um in Brasilien 2015 Zahlungsanweisungen umzuleiten.
  2. Die Malware fängt Kryptowährungstransaktionen ab. Die damit zu transferierende Summe wird in die Wallets der Kriminellen umgeleitet, ohne dass der Nutzer dies mitbekommt.

Eine Vielfalt anderer Angriffe ist möglich. Die Forscher fanden Phishing-Webseiten für den Austausch von Kryptowährung und andere Services (ähnlich den bösartigen Aktivitäten auf Banking Websites).

IoT als Ziel für Kryptowährungs-Mining Malware

Die Rechenleistung von Smartphones und IoT-Geräten ist viel geringer als die von Servern oder gar Laptops. Dennoch erstellen Kriminelle Krypto-Mining-Malware für die Infektion dieser Geräte. Ein Beispiel dafür ist DroidMiner, der 2017 in einem Forum beworben wurde.

In demselben Forum bot ein anderer Akteur einen Monero Miner für Routers für verschiedene Architekturen an. Er wurde sofort von einem anderen Forumsmitglied mit höherer Reputation angegriffen, der behauptete der Miner sei wertlos – wahrscheinlich in Anbetracht der Rechenleistung dieser Geräte:

Es macht nicht den Anschein, dass das Thema Kryptowährungs-Malware in Untergrundforen besonders gut ankommt. Sie scheint nicht genügend Profit abzuwerfen, zumindest derzeit. Weitere Einzelheiten dazu liefert ein Research Brief.

Schutz vor Kryptowährungs-Mining Malware

Kryptowährungs-Mining stellte 2017 die von Trend Micro™ Smart Home Network am häufigsten entdeckten Vorfälle in privaten Netzwerken dar. Gegen Ende des Jahres nahm der Einsatz von Krypto-Mining-Malware an Fahrt auf. Die schädlichen Auswirkungen auf die betroffenen Geräte machen Krypto-Mining-Malware zu einer ernsthaften Bedrohung.

Um die Risiken zu mindern, empfehlen sich die folgenden Best Practices:

  • Regelmäßige Update für die Geräte, um Angreifer daran zu hindern Sicherheitslücken auszunutzen,
  • Ändern der Standard-Einwahlinformationen, um nicht autorisierte Zugriffe zu vermeiden,
  • Einsatz von Intrusion Detection and Prevention-Systemen sowie
  • Vorsicht walten lassen vor bekannten Angriffsvektoren, wie mit Social Engineering-Fallen versehene Links, Anhänge und Dateien von verdächtigen Websites, vor verdächtigen Anwendungen von Drittanbietern sowie vor unerwünschten Mails.

Nutzer sollten darüber hinaus Sicherheitslösungen einsetzen, die vor verschiedenen Iterationen von Krypto-Mining-Malware schützen können. Trend Micro XGen™ Security beispielsweise liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.