Massiver Ausbruch von Krypto-Malware
Microsoft hat den massiven Ausbruch einer Krypto-Malware eingedämmt. Der Trojaner Dofoil oder wie er von Malwarebytes genannt wird Smoke Loader verbreitete sich innerhalb weniger Stunden auf knapp einer halben Million Geräte, wie zdnet.de informierte.In nur wenigen Stunden gelang es die Malware auf einer halben Million Geräte zu verbreiten. Nach dem Befall der PCs wurden diese dann genutzt, um mit ihrer Rechenleistung die Krypto-Währung Electroneum zu schürfen.
Wie weiter dazu verlautete hatte Microsoft Defender Antivirus am 6. März knapp 80.000 infizierte Instanzen entdeckt. Bereits nach zwölf Stunden war die Zahl der infizierten Rechner, die die Microsoft-Anti-Malware-Lösung entdeckt hatte, auf 400.000 angewachsen. Die meisten davon waren in Russland beheimatet. Aber auch in der Türkei und in der Ukraine wurden Systeme befallen.
Malware Dofoil mit Process Hollowing erfolgreich
Dofoil war unter anderem auch deshalb so erfolgreich, weil es das so genannte Process Hollowing verwendet. Dabei wird dem Betriebssystem vorgegaukelt, dass es sich um eine legitime Anwendung handelt. Dofoil nutzt die explorer.exe und tauscht diese legitime Binary gegen den Code der Malware aus.
Dazu erklärt Mark Simos, Sicherheitsarchitekt bei Microsoft:
„Der ausgehölte explorer.exe-Prozess setzt dann eine weitere, bösartige Instanz auf, die dann die Coin-Mining-Malware herunterlädt und – als legitimes Windows-Binary wuauclt.exe verkleidet – startet“
Um auch weiterhin auf dem PC bleiben zu können, ändert Dofoil die Windows-Registry, nachdem explorer.exe ausgehölt wurde.
„Der manipulierte explorer.exe-Prozess erstellt eine Kopie der ursprünglichen Malware im Roaming AppData-Folder und nennt ihn anschließend in ditereah.exe um. Dann wird ein Registry-Key erstellt oder ein bestehender modifiziert, so dass dieser auf die neu kreierte Malware-Kopie verweist. In dem Sample, das wir analysiert hatten, wurde der OneDrive Run Key modifiziert“
Laut Simons habe Microsoft mit Hilfe von Machine Learning Metadaten analysiert und „innerhalb von Millisekunden“ eine Anomalie erkannt, weil verschiedene Kommandos und auch der Netzwerk-Traffik auffällig gewesen sein.
Vermehrter Einsatz von lukrativer Krypto-Malware
Kryto-Malware hat seit dem zweiten Halbjahr 2017 enorm zugenommen. Die Chance auf ertragreiche Angriffe ist hier besonders hoch. Zudem bemerken viele Nutzer eine Infektion kaum, sie denken nicht gleich an eine derartige Malware wenn der PC langsamer arbeitet. Laut einer Analyse von Kaspersky werden die Opfer meist dann infiziert, wenn sie eine augenscheinlich legitime Software herunterladen.
Weiterführende Links:
Hacker schürften 2017 Millionenwerte mit Malware zum Krypto-Mining
blog.malwarebytes.com: Smoke Loader
zdnet.de: Microsoft meldet massiven Ausbruch von Krypto-Malware
