Menü
Security

Malware installiert Krypto-Mining-Tool XMRig auf Millionen PCs

Zum heimlichen Krypto-Mining im Browser hat sich jüngst eine neue Masche gesellt: Kriminelle schleusen Open-Source-Mining-Tools auf fremde PCs, um dauerhaft von deren Rechenleistung zu profitieren. Millionen von Nutzern sollen betroffen sein.

Von
vorlesen Drucken Kommentare lesen 68 Beiträge
Malware installiert Kryptomining-Tool XMRig auf fremden Rechnern

(Bild: pixabay.com)

Eine aktuelle Malware-Kampagne missbraucht das quelloffene Krypto-Mining-Tool XMRig, um auf fremden Rechnern die Kryptowährung Monero zu scheffeln. Sicherheitsforscher von Palo Alto Networks beobachten die auf Windows-Systeme abzielende Schadcode-Verbreitung bereits seit über vier Monaten. Ihren Auswertungen zufolge sollen weltweit mindestens 15 Millionen Rechner mit der Mining-Malware infiziert sein – über 6.5 Millionen davon stehen in Thailand, Vietnam und Ägypten.

Anders als frühere Kryptomining-Kampagnen, die auf JavaScript-Code im Browser setzen, nistet sich der Schadcode im aktuellen Fall dauerhaft auf den Rechnern ein – der Mining-Prozess ist damit zeitlich nicht mehr auf das Surfen im Internet beschränkt. Die Malware nutzt zwei Visual-Basic-Skripte (VBS), die zunächst ermitteln, ob es sich beim Betriebssystem des Zielrechners um eine 32- oder 64-Bit-Windows-Version handelt. Anschließend laden sie aus dem Internet die geeignete XMRig-Version nach, starten diese und beginnen mit dem heimlichen Mining. Die Erträge fließen in die digitalen Geldbeutel der Malware-Macher.

Die Verbreitung der Malware erfolgt mittels URLs, die mit URL-Verkürzern wie bit.ly und ad.fly gekürzt werden. Sie verweisen oftmals auf Dateien mit Bezeichnungen wie [File4org]_421064.exe, [Dropmefiles]_420549.exe oder [RapidFiles]_48905.exe. Offenbar sollen sie den Eindruck erwecken, von bekannten File-Sharing-Services zu stammen; tatsächlich lauerte den Forschern zufolge aber mehr als die Hälfte der von ihnen entdeckten Samples beim Cloud-Storage-Anbieter 4Sync.

Die Dateinamen beinhalten häufig die Namen bekannter Filehoster.

(Bild: Palo Alto)

Palo Altos Recherchen zu den Dateinamen förderten unter anderem einen deutschsprachigen Forenbeitrag zutage. Dessen Ersteller nahm wohl an, dass einer der präparierten ad.fly-Links zum Update einer Cheat-Software für "Counter-Strike: Global Offensive" führe. Das weist einerseits auf die Tarnung und Verbreitung als Software-Downloads und andererseits auch darauf hin, dass sich unter den Opfern der neuen Mining-Masche auch Nutzer aus Deutschland befinden.

Die Forscher haben den Kurz-URL-Dienst bit.ly über die Malware-Links informiert, der diese prompt löschte. Das bannt natürlich nicht die vom Schadcode ausgehende Gefahr – zumal die Kriminellen auf zahlreiche Alternativen wie ad.fly, TinyURL oder goo.gl zurückgreifen können.

tipps+tricks zum Thema:

(ovw)