Tausende NAS von Seagate missbraucht, um Malware zu verteilen

Weltweit sollen 5000 NAS-Server die Malware Miner-C verteilen. Bei einem Großteil davon handele es sich um den Netzwerkspeicher Central von Seagte, berichten Sicherheitsforscher von Sophos.

Greift ein Windows-Computer auf ein Gerät zu auf dem Miner-C hinterlegt ist, könne der Schädling unter gewissen Umständen den Computer befallen. Anschließend sollen die Drahtzieher hinter Miner-C Sophos zufolge infizierte Computer zum Schürfen der Krpytowährung Monero missbrauchen. Sophos geht davon aus, dass die Kriminellen so bereits rund 77.000 Euro geerntet haben.

In ihrem Bericht sprechen die Sicherheitsforscher von einer Schwachstelle im NAS Central, die Angreifer zum Hochladen der Malware missbrauchen können. Das Problem dabei ist, dass selbst ein anonymer Nutzer Dateien auf dem Netzwerkspeicher hinterlegen kann, wenn der Fernzugriff aktiviert ist. Dateien landen in dem öffentlich zugänglichen Public-Ordner.

Fake-Windows-Ordner

Klickt ein potentielles Opfer auf die platzierte Datei, springt Miner-C auf den Computer über und zwackt dessen Leistung zum Schürfen von Monero ab. Um Opfer hinters Licht zu führen, setzen die Malware-Entwickler auf einen Trick: Der Schädling befindet sich im Public-Ordner in einer Datei namens Photo.scr. Diese Dateiendung zeichnet unter Windows Bildschirmschoner aus. Das Icon der Datei sieht jedoch wie ein Windows-Ordner aus. Da Windows in der Regel die Namenserweiterung ausblendet, kann ein Opfer denken, es öffnet einen Ordner, führt nach einem Doppelklick aber die Malware aus.

Sophos zufolge können sich Besitzer des Netzwerkspeichers nur schützen, wenn sie den Fernzugriff deaktivieren. In diesem Fall kann man aber auch nicht mehr über das Internet auf seine Dateien zugreifen.

[UPDATE, 16.09.2016 13:00 Uhr]

Datei-Typ .scr im Fließtext korrekt beschrieben. (des)