Neue Malware kümmert sich um Bitcoin Miner

Originalartikel von Roland Dela Paz, Threat Response Engineer

In den letzten Wochen hat Trend Micro bereits des öfteren über Angriffe berichtet, bei denen Systeme mithilfe einer Schadsoftware in Bitcoin Miners „verwandelt“ wurden. Jetzt sind die Sicherheitsforscher auf einen weiteren, wohlbekannten Schädling, nämlich TDL4, gestoßen, der für diese Art von Attacken zum Einsatz kommt.

TDL4, eine Variante der TDSS-Familie, ist dafür berüchtigt, sich der Entdeckung durch Antivirus-Produkte zu entziehen, indem die Malware den Boot-Sektor betroffener Systeme infiziert. Schon vor einiger Zeit stießen die Experten von Trend Micro auf TDL4-Verbreitungsroutinen, die eine Wurmkomponente (WORM_OTORUN.ASH) dafür nutzen. Neuere Varianten dieser Komponente enthalten Code, der für eine Verbindung zum Bitcoin-Pool Deepbit zuständig ist.

 

Der Screenshot zeigt einige Parameter, wie etwa „getwork“, mit dem die Software einen Job aus dem Mining Pool anfordert. In Bitcoin-Pools melden sich Nutzer an und treten einem Miner-Netzwerk bei, um an demselben Job zu arbeiten.

Die Daten des Trend Micro Smart Protection Networks zeigen, dass die Verteilung des Wurms in den letzten Monaten weitere Teile der Welt erobert hat. Das Smart Protection Network analysiert fortlaufend die Daten aus dem Feedback von Millionen von Kunden, sodass die Sicherheitsforscher in Echtzeit verfolgen können, wie sich ein bestimmter Schädling ausbreitet und wie sich die Gefahr minimieren lässt.

Trend Micro konnte auch feststellen, dass die Command-&Control-Server von zwielichtigen Internet Service Providern in Europa, vor allem in der Ukraine, Rumänien und in den Niederlanden, gehostet werden.

Das Konzept des Minings in Pools ergänzt die Botnetze – eine Reihe von Zombie-PCs tragen zum Erzeugen eines Bitcoin-Blocks bei, die Belohnung kassieren die Kriminellen und die Kosten trägt das Opfer.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*