Coinminer-Botnet missbraucht mehr als eine halbe Million Computer

Eset hat eine Cryptomining-Kampagne von Cyberkriminellen enttarnt. Die Hintermänner gehören demnach zur Hackergruppe Stantinko, die über eines der größten Botnetze weltweit verfügen soll. Bisher nutzten sie die mehr als 500.000 Rechner unter anderem für den Diebstahl von Anmeldedaten, Betrug und Manipulation von Werbebannern.

Damit ihre Aktivitäten unentdeckt bleiben, setzen die Hacker auf eine einfache, aber effektive Methode. Öffnen Opfer den Task-Manager oder geht das infizierte Gerät in den Akkumodus, schließt sich der Coinminer und bleibt damit unsichtbar.

Den Sicherheitsforschern zufolge ist die jetzt aufgedeckte Kampagne wohl schon seit August 2018 aktiv und sichert seitdem die Monetarisierung des Botnets. Geschürft wird die Kryptowährung Montero. Die Computer des Botnets stehen indes in erster Linie in Ländern wie Russland, Ukraine, Weißrussland und Kasachstan.

Den Erfolg ihrer Kampagne sichern die Cyberkriminellen mit einer ausgefeilten Verschleierungstaktik. Sie beginnt mit einer zufällige Obfuskation auf Quellcode-Ebene. Zudem stellen die Hacker das Malware-Modul für jedes Opfer individuell zusammen, was jedes untersuchte Muster zu einem Unikat machen soll. Die Code-Verschleierung mache es wiederum nahezu unmöglich, alle Code-Änderungen zu verfolgen.

Das Cryptomining-Modul basiert der Analyse zufolge auf einer stark angepassten Version des Open-Source-Cryptominers xmr-stak. Unter anderem seien Zeichenketten und sogar ganze Funktionen entfernt worden, um eine Erkennung durch Antivirenprogramme zu vermeiden. Geblieben sei jedoch der hohe Leistungsbedarf des Cryptominers, der in Einzelfällen selbst das Öffnen des Browsers „zum Geduldspiel“ mache, ergänzten die Forscher.

Zur Kommunikation mit seinem Mining-Pool nutzt der Coinminer Proxys, deren IP-Adressen aus Beschreibungstexten von Youtube-Videos abgerufen werden. Das Mining-Modul selbst erhält eine Youtube-Video-ID als Befehlszeilenparameter, woraus dann die Video-URL erstellt wird. Auf Betreiben von Eset wurden inzwischen alle Video-Kanäle, die für die Kommunikation mit der Malware missbraucht wurden, entfernt.

Der Cryptominer selbst ist zudem in der Lage, andere Mining-Aktivitäten auf einem infizierten System zu beenden. Darüber hinaus sucht er nach laufenden Prozessen, um Antivirenprogramme aufzuspüren.

„Es überrascht nicht, dass die Kriminellen hinter Stantinko neue Wege suchen, um die finanziellen Gewinne durch das Botnetz weiter zu erhöhen. Cryptomining ist ertragreicher und schwerer nachzuverfolgen als ihr altes Kerngeschäft Adware“, erklärte Thomas Uhlemann, ESET Security Specialist.

Die Verbreitung von Stantinko erfolgt ihm zufolge unter anderem über illegale Raubkopien kommerzieller Software und Spiele. Wer annehme, dabei ein Schnäppchen zu machen, werde schließlich eines besseren belehrt.