Eset hat eine Cryptomining-Kampagne von Cyberkriminellen enttarnt. Die Hintermänner gehören demnach zur Hackergruppe Stantinko, die über eines der größten Botnetze weltweit verfügen soll. Bisher nutzten sie die mehr als 500.000 Rechner unter anderem für den Diebstahl von Anmeldedaten, Betrug und Manipulation von Werbebannern.
Den Sicherheitsforschern zufolge ist die jetzt aufgedeckte Kampagne wohl schon seit August 2018 aktiv und sichert seitdem die Monetarisierung des Botnets. Geschürft wird die Kryptowährung Montero. Die Computer des Botnets stehen indes in erster Linie in Ländern wie Russland, Ukraine, Weißrussland und Kasachstan.
Den Erfolg ihrer Kampagne sichern die Cyberkriminellen mit einer ausgefeilten Verschleierungstaktik. Sie beginnt mit einer zufällige Obfuskation auf Quellcode-Ebene. Zudem stellen die Hacker das Malware-Modul für jedes Opfer individuell zusammen, was jedes untersuchte Muster zu einem Unikat machen soll. Die Code-Verschleierung mache es wiederum nahezu unmöglich, alle Code-Änderungen zu verfolgen.
Das Cryptomining-Modul basiert der Analyse zufolge auf einer stark angepassten Version des Open-Source-Cryptominers xmr-stak. Unter anderem seien Zeichenketten und sogar ganze Funktionen entfernt worden, um eine Erkennung durch Antivirenprogramme zu vermeiden. Geblieben sei jedoch der hohe Leistungsbedarf des Cryptominers, der in Einzelfällen selbst das Öffnen des Browsers „zum Geduldspiel“ mache, ergänzten die Forscher.
Zur Kommunikation mit seinem Mining-Pool nutzt der Coinminer Proxys, deren IP-Adressen aus Beschreibungstexten von Youtube-Videos abgerufen werden. Das Mining-Modul selbst erhält eine Youtube-Video-ID als Befehlszeilenparameter, woraus dann die Video-URL erstellt wird. Auf Betreiben von Eset wurden inzwischen alle Video-Kanäle, die für die Kommunikation mit der Malware missbraucht wurden, entfernt.
Der Cryptominer selbst ist zudem in der Lage, andere Mining-Aktivitäten auf einem infizierten System zu beenden. Darüber hinaus sucht er nach laufenden Prozessen, um Antivirenprogramme aufzuspüren.
„Es überrascht nicht, dass die Kriminellen hinter Stantinko neue Wege suchen, um die finanziellen Gewinne durch das Botnetz weiter zu erhöhen. Cryptomining ist ertragreicher und schwerer nachzuverfolgen als ihr altes Kerngeschäft Adware“, erklärte Thomas Uhlemann, ESET Security Specialist.
Die Verbreitung von Stantinko erfolgt ihm zufolge unter anderem über illegale Raubkopien kommerzieller Software und Spiele. Wer annehme, dabei ein Schnäppchen zu machen, werde schließlich eines besseren belehrt.
In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.