Mysteriöser Monero Miner „Norman“ gibt Rätsel auf

Quelle: Shutterstock

Mysteriöser Monero Miner „Norman“ gibt Rätsel auf

Das US-amerikanische Cybersecurity-Unternehmen Varonis hat einen cleveren Monero Malware Miner entdeckt. „Norman“ ist besonders gut darin, sich unsichtbar zu machen – und belegt einmal mehr, dass Monero (XMR) seinem Namen als Privacy Coin alle Ehre macht.

Eine US-amerikanische IT-Sicherheitsfirma hat eine neue Schadsoftware entdeckt, die auf betroffenen Geräten heimlich die Kryptowährung Monero (XMR) „schürft“. Der Malware Miner – von seinen Entdeckern auf den Namen „Norman“ getauft – soll dabei besonders geschickt darin sein, sich zu verstecken.

Norman wurde von der US-amerikanischen Cybersecurity-Firma Varonis entdeckt. In einem Blog-Eintrag veröffentlichte das Unternehmen am 14. August seine Ergebnisse. Die IT-Experten haben den Virus im Netzwerk eines Unternehmenskunden gefunden, in dem es anscheinend vor Mining Malware nur so gewimmelt hat.

Fast jeder Server und jede Workstation war mit Malware infiziert. Die meisten waren generische Varianten von Krypto-Minern. Einige waren Passwort-Dumping-Tools, andere versteckte PHP Shells und wieder andere waren seit einigen Jahren präsent. Wir haben unsere Erkenntnisse an den Kunden weitergegeben, die Malware aus seiner Umgebung entfernt und die Infektion gestoppt.

Von all den Krypto-Miner-Proben, die wir gefunden haben, fiel eine auf. Wir nannten sie „Norman“,

heißt es dazu auf dem Unternehmensblog. Was Norman von seiner kriminellen Konkurrenz abhebt, ist seine Fähigkeit, unentdeckt zu bleiben. Die auf dem quelloffenen Monero Miner XMRig basierende Schadsoftware erstellt zunächst eine infizierte Kopie des Windows-Systemprozess svchost.exe. Bei deren Ausführung injiziert sich Norman in die Datei explorer.exe des Windows-Nutzers. Danach injiziert diese die Schadsoftware in den Prozess wuapp.exe, der normalerweise für Windows-Updates zuständig ist.


[Anzeige]
Bitcoin, Ethereum, Ripple, IOTA und die bekanntesten Kryptowährungen auf Plus500 handeln. Warum Plus500? Kostenloses Demo-Konto; Mobile Trading-App; Einzahlungen per PayPal; große Auswahl an verschiedenen Finanzprodukten (Kryptowährungen, Aktien, Rohstoffe, ETFs, Devisen, Indizies).

Jetzt kostenloses Konto eröffnen

Besonders perfide: Beim Öffnen des Taskmanagers schließt sich wuapp.exe automatisch. Damit gelingt es Norman, sich einem ersten, oberflächlichen Screening durch den Benutzer zu entziehen. Die Forscher konnten den Ursprung von Norman bislang nicht ermitteln – es gibt lediglich Hinweise dafür, dass der Täter oder die Täterin eine französischsprachige Version des Kompressionsprogramms WinRar verwendet hat.

Malware Mining bei Monero weit verbreitet

Es gibt einen Grund, warum der Privacy Coin Monero sich schlechterdings hervorragend für Malware-Mining-Angriffe eignet. So lassen sich XMR-Transaktionen beispielsweise nur schwer zurückverfolgen – dank Ringsignaturen und Decoy-Transaktionen. Dazu kommt der Umstand, dass XMR Token fungibel sind. Das hat zur unter anderem zur Folge, dass einzelne Monero-Einheiten (und/oder -Adressen) nicht gebrandmarkt werden können, weil sie beispielsweise mit illegalen Aktivitäten in Verbindung gebracht werden. Gerade Letzteres lässt sich indes immer häufiger im Zusammenhang mit Bitcoin-Börsen-Hacks beobachten. Blockchain-Analysefirmen können gestohlene BTC folglich tracken, indem sie Bitcoin-Adressen der mutmaßlichen Täter im Auge behalten. Anders als bei Monero haben so auch Exchanges die Möglichkeit, dem Verkauf von BTC-Hehlerware auf ihren Plattformen zu unterbinden. Ob sie das immer tun, sei freilich dahingestellt.

Die Krypto-Journalistin Dovey Wan hat beispielsweise vor Kurzem Bitcoin-Adressen der mutmaßlichen Drahtzieher hinter dem Projekt Plus Token veröffentlicht. Offenbar sind derzeit größere Mengen der Schätzungsweise 200.000 erbeuteten BTC in Bewegung.

Dabei ist eine Verbindung mit dem jüngsten Einknicken des Bitcoin-Kurses nicht auszuschließen. Bitcoin Exchanges täten demnach gut daran, das mutmaßliche Diebesgut genauestens im Auge zu behalten. Die Transparenz der Bitcoin Blockchain gestattet dies prinzipiell. Schwierig wird es jedoch, wenn Bitcoin Mixer eingesetzt werden – allerdings eignen sich diese nur bedingt für größere Summen BTC.

Die Stealth-Adressen bei Monero machen den Privacy Coin indes zu einer anonymen Kryptowährung – auch deshalb ist XMR bei Malware Minern besonders beliebt. Unterdessen zieht mit dem sogenannten Access Mining eine neue Gefahr für Windows-Nutzer auf.

Mehr zum Thema:

Bereit für den nächsten Karrieresprung?

Sichere dir deinen Vorsprung durch Wissen und werde zum Blockchain & Krypto Experten

z.B. "Blockchain Basics Kurs"

Inklusive personalisiertes Teilnahmezertifikat
Zum Online Kurs

Ähnliche Artikel

Sia veröffentlicht neues Update und arbeitet an dezentralem Streaming
Sia veröffentlicht neues Update und arbeitet an dezentralem Streaming
Altcoins

Nachdem Sia bereits im November mit der Alphaphase seiner Streaming-Funktion SiaStream begann, veröffentlichten die Entwickler zum Ende des Jahres ein umfassendes Upgrade. Diese Veröffentlichung verbessert die Verwaltung von Datenverträgen und sichert die gespeicherten Daten der Nutzer zudem effektiver ab.

Tether Gold (XAUt) erreicht den Krypto-Markt
Tether Gold (XAUt) erreicht den Krypto-Markt
Altcoins

Tether Limited hat den goldgedeckten Stable Coin Tether Gold (XAUt) auf den Krypto-Markt gebracht. XAUt wird künftig als ERC-20 Token auf der Ethereum Blockchain und als TRC-20 Token auf der TRON Blockchain emittiert.

Newsletter

Die aktuellsten News kostenlos per E-Mail

Aktuell

Ölgigant Saudi Aramco schließt sich Blockchain-Plattform VAKT an
Ölgigant Saudi Aramco schließt sich Blockchain-Plattform VAKT an
Unternehmen

Saudi-Arabiens staatlicher Ölkonzern Saudi Aramco schließt sich der blockchainbasierten Handelsplattform VAKT an. Die größte Erdölgesellschaft der Welt investiert fünf Millionen US-Dollar in das Unternehmen und wird seinen Handel künftig über die Plattform abwickeln.

Bitcoin mit neuem Jahreshoch, bullishe Tendenz setzt sich fort
Bitcoin mit neuem Jahreshoch, bullishe Tendenz setzt sich fort
Kursanalyse

Der Gesamtmarkt nimmt wieder Fahrt auf. Die bullishe Bewegung bei Bitcoin sorgt gleichsam für eine Stabilisierung der Bitcoin-Dominanz.

Englisches Cricket-Team setzt gesamten Ticketverkauf auf Blockchain
Englisches Cricket-Team setzt gesamten Ticketverkauf auf Blockchain
Krypto

Die Blockchain-Technologie steht im Allgemeinen für Fälschungssicherheit und Vertrauen. Auch eine von Englands beliebtesten Sportarten könnte bald schon von diesen Vorzügen Gebrauch machen.

Bitcoin-Kurs mit Aufwind, IOTA explodiert – Rallye am Krypto-Markt
Bitcoin-Kurs mit Aufwind, IOTA explodiert – Rallye am Krypto-Markt
Bitcoin

Der Bitcoin-Kurs (BTC) hat die 9.000-US-Dollar-Marke erfolgreich hinter sich gelassen. Während der Krypto-Markt insgesamt gut performt, lässt IOTA alle hinter sich. Mit 16 Prozent Plus legt der Token für das Internet der Dinge eine der besten Performances der Top 30 hin.

Angesagt

Singapur führt Lizenzen für Krypto-Dienstleister ein
Regulierung

In Singapur tritt eine neue Gesetzgebung in Kraft, laut der Zahlungsdienstleister künftig eine Lizenz beantragen müssen. Die neue Regelung betrifft auch im Inselstaat ansässige Krypto-Unternehmen.

Asien bekommt seinen ersten Bitcoin-Indexfonds
Invest

Stack hat den ersten Bitcoin-Indexfonds im asiatischen Raum eingerichtet. Der Indexfonds ermöglicht Investoren die Integration von Bitcoin in ihr Anlageportfolio und stößt auf eine steigende Nachfrage an klassischen Finanzprodukten im Anlagebereich digitaler Assets.

Tron: Ex-Angestellte verklagen Justin Sun
Szene

Zwei Ex-Angestellte reichen ein 70-seitiges Gerichtsdokument beim kalifornischen Gericht ein. Die Vorwürfe? Belästigung, Sabotage, Drohung, Diskriminierung und willkürliche Kündigungen – um nur einige wenige zu nennen. Dies geht aus dem veröffentlichten Bericht hervor.

Ditto Music setzt auf Blockchain
Blockchain

Die Online-Musikvertriebsfirma Ditto Music will den Umgang mit ihren Künstlern fairer gestalten. Die Blockchain-Technologie soll dabei helfen.