Coin-Mining Kampagne zielt auf Zehntausende von Maschinen

Wir berichteten bereits vor einigen Tagen, wie auf illegale Weise Kryptowährung geschürft wird. Jetzt wurde wieder eine Kampagne aufgedeckt.

Microsoft hat eine massive und weit verbreitete Kampagne abgewendet, bei der Zehntausende von Maschinen betroffen gewesen wären.
Der Software-Riese berichtete, dass "Windows Defender AV am 6. März mehr als 80.000 Instanzen von mehreren hochentwickelten Trojanern blockierte, die fortgeschrittenen prozessübergreifenden Injektionstechniken, Persistenzmechanismen und Ausweichmethoden aufwiesen.“ Die Trojaner, die neue Varianten von Dofoil (auch bekannt als Smoke Loader), tragen eine Ladung Coin-Miner bei sich.
"Innerhalb der nächsten 12 Stunden wurden mehr als 400.000 neue Fälle registriert, davon 73% in Russland. Die Türkei kam dabei auf 18% und die Ukraine auf 4% ", erklärte Microsoft.

Dofoil verwendet eine angepasste Mining-Anwendung, die eine Funktion namens NiceHash unterstützt, was bedeutet, dass sie verschiedene Kryptowährungen verwenden kann. Microsoft hat hierbei Electroneum analysiert. Dofoil nistet sich in Systeme ein, die einen Prozess namens "hollowing" verwenden.

Process Hollowing ist eine Code-Injection-Technik, bei der eine neue Instanz legitimer Prozesse erzeugt wird und dann der legitime Code durch Malware ersetzt wird, erklärte Mark Simos, leitender Cybersicherheits-Architekt für Microsofts Cybersecurity-Unternehmensgruppe in einem Blog. "Die hollowed explorer.exe erzeugt dann eine zweite bösartige Instanz, die eine Coin-Mining Malware ausführt. Diese ist als legitime Windows-Binärdatei getarnt."

Der Angriff wurde dank eines ungewöhnlichen Persistenz-Mechanismus, der verhaltensbasierte Warnungen auslöst, entdeckt. Für Coin-Miner Malware ist es erforderlich, lange unentdeckt zu bleiben, um genügend Coins abzubauen. Nur so „lohnt“ sich der Angriff.

Aus diesem Grund ändert Dofoil die Windows-Registry.

"Die hollowed explorer.exe erstellt eine Kopie der ursprünglichen Malware im Roaming AppData-Ordner und benennt sie in ditereah.exe um.", so Simos. "Anschließend wird ein Registrierungsschlüssel erstellt oder ein vorhandener geändert, um auf die neu erstellte Malware-Kopie zu verweisen. In der von uns analysierten Stichprobe hat die Malware den OneDrive Run-Schlüssel geändert. "

Anstelle von Ransomware liefern Exploit-Kits nun vermehrt Coin-Miners. Betrüger fügen gefälschte Coin-Mining-Skripte auf falschen Support-Seiten ein und einige Banking-Trojaner haben ihren Trickkoffern zusätzliches Coin-Mining-Verhalten hinzugefügt. Diese Masche scheint einfach lukrativer zu sein. Denn hier sind Kriminelle nicht darauf angewiesen, dass – im Falle von Verschlüsselungstrojanern – die Opfer auf die Zahlung von Erpressungsgeldern eingehen.

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.