Krypto-Miner mit rasantem Wachstum
Den Sicherheitsforscher Xavier Mertens vom ICS Sans überrascht dieser neue Krypo-Miner im Kampf um CPU-Ressourcen nicht, da entsprechende Malware sich seit Anfang des Jahres und den enormen Kursgewinnen von Kryptowährungen rasant entwickelt und verbreitet hat, wie computerbase.de dazu informierte.
Es ist nun nicht mehr Ransomware, die vorherrscht. Seit Anfang 2018 hat sich die Cyber-Kriminalität von Ransomware verstärkt auf die Verteilung von Krypto-Minern verlagert.
Auftritt als Druckertreiber
Von der Malware, die sich als Druckertreiber tarnt, gibt es eine 32- als auch 64-Bit-Version.Die Dateien sind nicht signiert. Der Krypto-Miner prüft zuerst, ob bereits ein anderer Miner mit einem AMDDriver64-Prozess läuft und prüft alle Prozesse, die gerade aktiv sind.
Dann erfolgt ein Abgleich mit der integrierten Liste „$malwares2“ bekannter anderer Krpyto-Mining-Prozesse, die gegebenenfalls geschlossen werden. Die Namen der Prozesse weisen dabei bewusst eine große Ähnlichkeit zu bekannten Windows-Prozessen auf. Gleichzeitig ist diese Liste aber auch ein guter Anhaltspunkt, um auf dem eigenen System im Task-Manager nach einem im Hintergrund laufenden, ungewollten Krypto-Miner zu suchen.
Der Experten-Kommentar
Marta Janus, Senior Threat Researcher bei Cylance, kommentiert zu dieser Vorgehensweise:
„Das Mining von Kryptowährungen verbraucht enorme Rechnerleistungen. Damit sich das Ganze für Cyberkriminelle auch tatsächlich lohnt, müssen sie so viel CPU-Leistung wie nur irgend möglich nutzen. Gerade in jüngster Zeit konnten wir vermehrt Mining-Trojaner beobachten. Deshalb ist es für mich nicht überraschend, dass ein Angreifer mögliche Rivalen aus dem Feld schlagen will. Sprich, versucht, die Konkurrenz auf einem erfolgreich kompromittierten Rechner zu eliminieren.“
Die Malware schaltet nur Konkurrenten aus, theoretisch wäre jedoch auch ein Beenden von Sicherheitslösungen möglich, sofern diese nicht über einen Selbstschutzmechanismus verfügen, der verhindert, dass der Prozess über ein PowerShell-Kommando angehalten werden kann, so computerbase.de.
Weiterführende Links:
computerbase.de: Kampf um Rechenleistung: Malware-Krypto-Miner stoppt andere Krypto-Miner