Eset hat eine Cryptomining-Kampagne von Cyberkriminellen enttarnt. Die Hintermänner gehören demnach zur Hackergruppe Stantinko, die über eines der größten Botnetze weltweit verfügen soll. Bisher nutzten sie die mehr als 500.000 Rechner unter anderem für den Diebstahl von Anmeldedaten, Betrug und Manipulation von Werbebannern.
Den Sicherheitsforschern zufolge ist die jetzt aufgedeckte Kampagne wohl schon seit August 2018 aktiv und sichert seitdem die Monetarisierung des Botnets. Geschürft wird die Kryptowährung Montero. Die Computer des Botnets stehen indes in erster Linie in Ländern wie Russland, Ukraine, Weißrussland und Kasachstan.
Den Erfolg ihrer Kampagne sichern die Cyberkriminellen mit einer ausgefeilten Verschleierungstaktik. Sie beginnt mit einer zufällige Obfuskation auf Quellcode-Ebene. Zudem stellen die Hacker das Malware-Modul für jedes Opfer individuell zusammen, was jedes untersuchte Muster zu einem Unikat machen soll. Die Code-Verschleierung mache es wiederum nahezu unmöglich, alle Code-Änderungen zu verfolgen.
Das Cryptomining-Modul basiert der Analyse zufolge auf einer stark angepassten Version des Open-Source-Cryptominers xmr-stak. Unter anderem seien Zeichenketten und sogar ganze Funktionen entfernt worden, um eine Erkennung durch Antivirenprogramme zu vermeiden. Geblieben sei jedoch der hohe Leistungsbedarf des Cryptominers, der in Einzelfällen selbst das Öffnen des Browsers „zum Geduldspiel“ mache, ergänzten die Forscher.
Zur Kommunikation mit seinem Mining-Pool nutzt der Coinminer Proxys, deren IP-Adressen aus Beschreibungstexten von Youtube-Videos abgerufen werden. Das Mining-Modul selbst erhält eine Youtube-Video-ID als Befehlszeilenparameter, woraus dann die Video-URL erstellt wird. Auf Betreiben von Eset wurden inzwischen alle Video-Kanäle, die für die Kommunikation mit der Malware missbraucht wurden, entfernt.
Der Cryptominer selbst ist zudem in der Lage, andere Mining-Aktivitäten auf einem infizierten System zu beenden. Darüber hinaus sucht er nach laufenden Prozessen, um Antivirenprogramme aufzuspüren.
„Es überrascht nicht, dass die Kriminellen hinter Stantinko neue Wege suchen, um die finanziellen Gewinne durch das Botnetz weiter zu erhöhen. Cryptomining ist ertragreicher und schwerer nachzuverfolgen als ihr altes Kerngeschäft Adware“, erklärte Thomas Uhlemann, ESET Security Specialist.
Die Verbreitung von Stantinko erfolgt ihm zufolge unter anderem über illegale Raubkopien kommerzieller Software und Spiele. Wer annehme, dabei ein Schnäppchen zu machen, werde schließlich eines besseren belehrt.
In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…