Das Krypto-Mining-Tool XMRig
Aktuell geht eine Malware-Kampagne um, die das quelloffene Krypto-Mining-Tool XMRig missbraucht, um auf fremden Rechnern die Kryptowährung Monero zu scheffeln, wie heise.de, unter Berufung auf die Sicherheitsforscher von Palo Alto Networks, warnte.
Bereits vier Monate lang sollen die Forscher, die auf Windows-Systeme abzielende Schadcode-Verbreitung im Visier haben. Laut deren Analysen sollen weltweit mindestens 15 Millionen Rechner mit der Mining-Malware infiziert sein – über 6.5 Millionen davon stehen in Thailand, Vietnam und Ägypten.
Schadcode gräbt sich dauerhaft ein
Im Gegensatz zu bisherigen Mining-Kampagnen nistet sich der Schadcode im aktuellen Fall dauerhaft auf den Rechnern ein, der Mining-Prozess ist damit zeitlich nicht mehr auf das Surfen im Internet beschränkt.
Bevor die Malware an den Start geht, nutzt sie zwei Visual-Basic-Skripte (VBS), die zunächst ermitteln, ob es sich beim Betriebssystem des Zielrechners um eine 32- oder 64-Bit-Windows-Version handelt. Danach laden sie aus dem Internet die geeignete XMRig-Version nach, starten diese und beginnen mit dem heimlichen Mining, dessen Erträge den Angreifern die Taschen füllen.
Infektion über Software-Downloads
Laut den Sicherheitsforschern erfolgt die Verbreitung mittels URLs, die mit URL-Verkürzern wie bit.ly und ad.fly gekürzt werden. Sie verweisen oftmals auf Dateien mit Bezeichnungen wie [File4org]_421064.exe, [Dropmefiles]_420549.exe oder [RapidFiles]_48905.exe. Offenbar sollen sie den Eindruck erwecken, von bekannten File-Sharing-Services zu stammen; tatsächlich lauerte den Forschern zufolge aber mehr als die Hälfte der von ihnen entdeckten Samples beim Cloud-Storage-Anbieter 4Sync.
Wie weiter dazu verlautete führten die Recherchen der Sicherheitsexperten zu den Dateinamen auch zu einem deutschsprachigen Forenbeitrag. Dessen Ersteller nahm wohl an, dass einer der präparierten ad.fly-Links zum Update einer Cheat-Software für "Counter-Strike: Global Offensive" führe. Daraus schlussfolgernd ergibt sich die Tarnung und Verbreitung als Software-Downloads und daneben auch die Erkenntnis, dass auch deutsche Opfer der neuen Masche existieren.
Die Forscher haben den Kurz-URL-Dienst bit.ly über die Malware-Links informiert, der diese prompt löschte. Das bannt natürlich nicht die vom Schadcode ausgehende Gefahr – zumal die Kriminellen auf zahlreiche Alternativen wie ad.fly, TinyURL oder goo.gl zurückgreifen können, so heise.de.
Weiterführende Links:
paloaltonetworks.com: Large Scale Monero Cryptocurrency Mining Operation using XMRig
heise.de: Malware installiert Krypto-Mining-Tool XMRig auf Millionen PCs
