Ransomware XIAOBA zum Datei-Infektor und Miner umfunktioniert

Originalbeitrag von Don Ladores und Angelo Deveraturda

Derzeit werden Kryptowährungs-Miner sehr häufig von Malware genutzt – es gab beispielweise in Werbeplattformen eingefügte, oder auf weit verbreiteten Mobilgeräten und auf Servern abgelegte Schadsoftware. Die böswilligen Autoren ändern die Payloads, um ihre Chancen auf Profit zu maximieren und scheinen sie immer mehr Miner in ihr Arsenal aufzunehmen. Auch gibt es nun Binary-Infektoren, die Miner für ihre Bedürfnisse einsetzen.

Die Sicherheitsforscher von Trend Micro entdeckten kürzlich einen ausgeklügelten Datei-Infektor mit Mining- und Wurm-Fähigkeiten. Davon gab es zwei Varianten. XiaoBa (von Trend Micro als PE_XIAOBAMINER erkannt), ähnelt der XiaoBa Ransomware. Anscheinend wurde der Ransomware Code neu aufgelegt, mit neuen Fähigkeiten versehen, um daraus einen zerstörerischen Kryptowährungs-Miner zu machen. Destruktiv ist er, weil er Binaries infiziert, den Host-Code intakt lässt, doch der nicht mehr dem ursprünglichen Zweck dient. Wenn beispielsweise eine infizierte calc.exe-Datei mit dem with XiaoBaMiner ausgeführt wird, so führt sie den Schadsoftware-Code aus, ohne die Hauptroutine calc.exe.

Infektion mit dem Ziel Mining

XiaoBa ist gleichzeitig auch ein Kryptowährungs-Miner. Die Schadsoftware fügt das Coinhive Mining-Skript in Dateien ein und nutzt dann folgende Extensions:

  • *.html
  • *.htm

Bild 1. Infektor-Code, der das eingefügte Coinhive zeigt; eine weitere Variante umfasst sogar ein eigenes XMR Konfigurations- und Miner Binary

Der Miner ist Haupt-Payload, die über das Einfügen des Coinhive kcripts in das Gerät des Opfers abgelegt wird. Eine weitere XiaoBa-Variante fügt Skripts ein aber enthält auch eine 32-Bit- und 64-Bit-Version des XMRig Miners. Die Forscher hatten bereits andere Malware entdeckt, die 32-Bit- und 64-Bit XMRig Payloads enthielten, die je nach Gerät des Opfers abgelegt wurde. Details zur Funktionsweise umfasst der Originalbeitrag.

Die Analyse zeigt, dass es keine Grenze für die Größe der von der Malware infizierten Dateien gibt, die Forscher testeten Dateien von etwa 4 KB bis zu 100+ MB und sogar größere. Auch hinterlässt der Schädling keine Marker in der infizierten Datei, sodass mehrere Infektionen möglich sind.




Bild 2. Die Schadsoftware kann Dateien mehrmals infizieren.

Die Sicherheitsforscher fanden zwei Varianten des Mining-Infektors. Der Originalbeitrag enthält eine tabellarische Zusammenfassung der Unterschiede zwischen den Varianten. Zu den Gemeinsamkeiten gehört die Tatsache, dass beide Coinhive-Infektionen (COINMINER_XIAOBA.SM-HTML) für *.htm und *.html-Dateien durchführen können. Auch infizieren beide Binaries mit den Extensions .exe, .com, .scr und .pif. Auch sind sie beide über BlackMoon gepackt und deaktivieren Windows User Account Control-Benachrichtigung..

Daraus könnte man schließen, dass die Varianten entweder von demselben Autor stammen oder denselben Quellcode nutzen, um Fähigkeiten hinzuzufügen oder zu entfernen.

Gegenmaßnahmen und Lösungen

Ein Angriff mit XiaoBa kann signifikante Auswirkungen haben. Bei einer Infektion eines Binaries, wird der Code des Hosts nicht ausgeführt und die Anwendung der kompromittierten Datei kann nicht korrekt genutzt werden. Darüber hinaus verbraucht die Schadsoftware sehr viele Ressourcen.

Die geeigneten Sicherheitsmaßnahmen bieten Schutz gegen XIAOBA und ähnliche Bedrohungen. Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Verteidigungstechniken, um Systeme vor Mining Malware zu schützen. Die Lösung liefert High-Fidelity Machine Learning für die Sicherheit von Gateways und Endpoints und schützt physische, virtuelle und Cloud-Workloads. Zu den Fähigkeiten gehören Web/URL-Filtering, Verhaltensanalysen und anpassbare Sandboxen. XGen™ kann gegen Bedrohungen schützen, die herkömmliche Sicherheitsmechanismen umgehen, bekannte und unbekannte Sicherheitslücken ausnützen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln sowie Mining-Aktivitäten durchzuführen.

IoCs und damit zusammenhängende SHA 256 enthält der Originalbeitrag

Zusätzliche Einsichten und Ergebnisse von Raphael Centeno

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .