Malware installiert Krypto-Mining-Tool XMRig auf Millionen PCs
Zum heimlichen Krypto-Mining im Browser hat sich jüngst eine neue Masche gesellt: Kriminelle schleusen Open-Source-Mining-Tools auf fremde PCs, um dauerhaft von deren Rechenleistung zu profitieren. Millionen von Nutzern sollen betroffen sein.
(Bild: pixabay.com)
Eine aktuelle Malware-Kampagne missbraucht das quelloffene Krypto-Mining-Tool XMRig, um auf fremden Rechnern die Kryptowährung Monero zu scheffeln. Sicherheitsforscher von Palo Alto Networks beobachten die auf Windows-Systeme abzielende Schadcode-Verbreitung bereits seit über vier Monaten. Ihren Auswertungen zufolge sollen weltweit mindestens 15 Millionen Rechner mit der Mining-Malware infiziert sein – über 6.5 Millionen davon stehen in Thailand, Vietnam und Ägypten.
Anders als frühere Kryptomining-Kampagnen, die auf JavaScript-Code im Browser setzen, nistet sich der Schadcode im aktuellen Fall dauerhaft auf den Rechnern ein – der Mining-Prozess ist damit zeitlich nicht mehr auf das Surfen im Internet beschränkt. Die Malware nutzt zwei Visual-Basic-Skripte (VBS), die zunächst ermitteln, ob es sich beim Betriebssystem des Zielrechners um eine 32- oder 64-Bit-Windows-Version handelt. Anschließend laden sie aus dem Internet die geeignete XMRig-Version nach, starten diese und beginnen mit dem heimlichen Mining. Die Erträge fließen in die digitalen Geldbeutel der Malware-Macher.
Software-Downloads als Vorwand
Die Verbreitung der Malware erfolgt mittels URLs, die mit URL-Verkürzern wie bit.ly und ad.fly gekürzt werden. Sie verweisen oftmals auf Dateien mit Bezeichnungen wie [File4org]_421064.exe, [Dropmefiles]_420549.exe oder [RapidFiles]_48905.exe. Offenbar sollen sie den Eindruck erwecken, von bekannten File-Sharing-Services zu stammen; tatsächlich lauerte den Forschern zufolge aber mehr als die Hälfte der von ihnen entdeckten Samples beim Cloud-Storage-Anbieter 4Sync.
(Bild: Palo Alto)
Palo Altos Recherchen zu den Dateinamen förderten unter anderem einen deutschsprachigen Forenbeitrag zutage. Dessen Ersteller nahm wohl an, dass einer der präparierten ad.fly-Links zum Update einer Cheat-Software für "Counter-Strike: Global Offensive" führe. Das weist einerseits auf die Tarnung und Verbreitung als Software-Downloads und andererseits auch darauf hin, dass sich unter den Opfern der neuen Mining-Masche auch Nutzer aus Deutschland befinden.
Die Forscher haben den Kurz-URL-Dienst bit.ly über die Malware-Links informiert, der diese prompt löschte. Das bannt natürlich nicht die vom Schadcode ausgehende Gefahr – zumal die Kriminellen auf zahlreiche Alternativen wie ad.fly, TinyURL oder goo.gl zurückgreifen können.
tipps+tricks zum Thema:
(ovw)
