Mysteriöser Monero Miner „Norman“ gibt Rätsel auf

Quelle: Shutterstock

Mysteriöser Monero Miner „Norman“ gibt Rätsel auf

Das US-amerikanische Cybersecurity-Unternehmen Varonis hat einen cleveren Monero Malware Miner entdeckt. „Norman“ ist besonders gut darin, sich unsichtbar zu machen – und belegt einmal mehr, dass Monero (XMR) seinem Namen als Privacy Coin alle Ehre macht.

Eine US-amerikanische IT-Sicherheitsfirma hat eine neue Schadsoftware entdeckt, die auf betroffenen Geräten heimlich die Kryptowährung Monero (XMR) „schürft“. Der Malware Miner – von seinen Entdeckern auf den Namen „Norman“ getauft – soll dabei besonders geschickt darin sein, sich zu verstecken.

Norman wurde von der US-amerikanischen Cybersecurity-Firma Varonis entdeckt. In einem Blog-Eintrag veröffentlichte das Unternehmen am 14. August seine Ergebnisse. Die IT-Experten haben den Virus im Netzwerk eines Unternehmenskunden gefunden, in dem es anscheinend vor Mining Malware nur so gewimmelt hat.

Fast jeder Server und jede Workstation war mit Malware infiziert. Die meisten waren generische Varianten von Krypto-Minern. Einige waren Passwort-Dumping-Tools, andere versteckte PHP Shells und wieder andere waren seit einigen Jahren präsent. Wir haben unsere Erkenntnisse an den Kunden weitergegeben, die Malware aus seiner Umgebung entfernt und die Infektion gestoppt.

Von all den Krypto-Miner-Proben, die wir gefunden haben, fiel eine auf. Wir nannten sie „Norman“,

heißt es dazu auf dem Unternehmensblog. Was Norman von seiner kriminellen Konkurrenz abhebt, ist seine Fähigkeit, unentdeckt zu bleiben. Die auf dem quelloffenen Monero Miner XMRig basierende Schadsoftware erstellt zunächst eine infizierte Kopie des Windows-Systemprozess svchost.exe. Bei deren Ausführung injiziert sich Norman in die Datei explorer.exe des Windows-Nutzers. Danach injiziert diese die Schadsoftware in den Prozess wuapp.exe, der normalerweise für Windows-Updates zuständig ist.

Besonders perfide: Beim Öffnen des Taskmanagers schließt sich wuapp.exe automatisch. Damit gelingt es Norman, sich einem ersten, oberflächlichen Screening durch den Benutzer zu entziehen. Die Forscher konnten den Ursprung von Norman bislang nicht ermitteln – es gibt lediglich Hinweise dafür, dass der Täter oder die Täterin eine französischsprachige Version des Kompressionsprogramms WinRar verwendet hat.

Malware Mining bei Monero weit verbreitet

Es gibt einen Grund, warum der Privacy Coin Monero sich schlechterdings hervorragend für Malware-Mining-Angriffe eignet. So lassen sich XMR-Transaktionen beispielsweise nur schwer zurückverfolgen – dank Ringsignaturen und Decoy-Transaktionen. Dazu kommt der Umstand, dass XMR Token fungibel sind. Das hat zur unter anderem zur Folge, dass einzelne Monero-Einheiten (und/oder -Adressen) nicht gebrandmarkt werden können, weil sie beispielsweise mit illegalen Aktivitäten in Verbindung gebracht werden. Gerade Letzteres lässt sich indes immer häufiger im Zusammenhang mit Bitcoin-Börsen-Hacks beobachten. Blockchain-Analysefirmen können gestohlene BTC folglich tracken, indem sie Bitcoin-Adressen der mutmaßlichen Täter im Auge behalten. Anders als bei Monero haben so auch Exchanges die Möglichkeit, dem Verkauf von BTC-Hehlerware auf ihren Plattformen zu unterbinden. Ob sie das immer tun, sei freilich dahingestellt.

Die Krypto-Journalistin Dovey Wan hat beispielsweise vor Kurzem Bitcoin-Adressen der mutmaßlichen Drahtzieher hinter dem Projekt Plus Token veröffentlicht. Offenbar sind derzeit größere Mengen der Schätzungsweise 200.000 erbeuteten BTC in Bewegung.

Dabei ist eine Verbindung mit dem jüngsten Einknicken des Bitcoin-Kurses nicht auszuschließen. Bitcoin Exchanges täten demnach gut daran, das mutmaßliche Diebesgut genauestens im Auge zu behalten. Die Transparenz der Bitcoin Blockchain gestattet dies prinzipiell. Schwierig wird es jedoch, wenn Bitcoin Mixer eingesetzt werden – allerdings eignen sich diese nur bedingt für größere Summen BTC.

Die Stealth-Adressen bei Monero machen den Privacy Coin indes zu einer anonymen Kryptowährung – auch deshalb ist XMR bei Malware Minern besonders beliebt. Unterdessen zieht mit dem sogenannten Access Mining eine neue Gefahr für Windows-Nutzer auf.

Jetzt in Kryptowährungen investieren: Kryptowährungen kaufen, verkaufen oder traden – wir haben die besten Broker, Börsen und Zertifikate zusammengestellt: Bitcoin kaufen | Ether kaufen | Ripple kaufen | IOTA kaufen | Broker-Vergleich

Mehr zum Thema:

Ähnliche Artikel

Tezos: Eine Gefahr für Ethereum?
Tezos: Eine Gefahr für Ethereum?
Altcoins

Noch dominiert Etherum die Smart-Contract-Welt. Doch die Konkurrenz schläft nicht. Tezos versucht, einiges besser zu machen als die Kopfgeburt Vitalik Buterins. Die größte Bank Südamerikas hat Tezos als Plattform für Security Token Offerings gegenüber Ethereum bereits den Vorzug gegeben. Tezos – eine Gefahr für Ethereum?

Coinbase: Händler können Zahlungen mit USDC akzeptieren
Coinbase: Händler können Zahlungen mit USDC akzeptieren
Altcoins

Die US-Exchange Coinbase nutzt das Ethereum Update „Constantinople”, um für ihre Kunden Transaktionen in Kryptowährungen bereitzustellen. Tausende Händler auf der ganzen Welt können dank des USD Stable Coin (USDC) ohne die Gefahr von Volatilität Zahlungen entgegennehmen.

Newsletter

Die aktuellsten News kostenlos per E-Mail

Aktuell

Israelische Behörden schalten auf Turbo: Finanzaufsicht will FinTech-Lizenzen im Eilverfahren vergeben
Israelische Behörden schalten auf Turbo: Finanzaufsicht will FinTech-Lizenzen im Eilverfahren vergeben
Regulierung

Die israelische Finanzmarktaufsicht CMA will Marktzulassungen für FinTech-Unternehmen im Eilverfahren erteilen. Damit zielt die Behörde darauf, den Wettbewerb im Land anzukurbeln und die gesamte Branche zu fördern. Besonders die israelische Krypto-Industrie steckt derzeit noch in den Kinderschuhen.

INX Limited plant den Börsengang – unterstützt von Samson Mow, Fluffypony & Co.
INX Limited plant den Börsengang – unterstützt von Samson Mow, Fluffypony & Co.
Funding

Die geplante Krypto-Handelsbörse INX Limited will die Erlaubnis der US-Börsenaufsicht zum Verkauf ihres plattformeigenen Hybrid-Tokens INX Token. INX Limited verfügt über prominente Unterstützung – von Samson Mow bis „Fluffypony“. Ein Audit der Geschäftsbücher offenbart jedoch „erhebliche Zweifel“ an der Wirtschaftlichkeit der Krypto-Exchange in spe.

Indischer Bundesstaat Maharashtra setzt auf großangelegte Blockchain-Initiative
Indischer Bundesstaat Maharashtra setzt auf großangelegte Blockchain-Initiative
Regierungen

Maharashtra, der zweitgrößte indische Bundesstaat, will mit einer großangelegten Initiative dem Einsatz von Blockchain-Technologien den Weg ebnen. Helfen soll dabei eine sogenannte „Regulatory Sandbox“, die innerhalb der kommenden Monate eingerichtet werden soll. Künftig will die Regierung Blockchain-Technologien unter anderem im Agrarsektor sowie in der öffentlichen Verwaltung einsetzen.

Rakuten: Japanischer E-Commerce-Gigant startet Bitcoin-Börse
Rakuten: Japanischer E-Commerce-Gigant startet Bitcoin-Börse
Unternehmen

Rakuten Wallet geht mit seiner Bitcoin-Börse online. Kunden können ab sofort Krypto-Assets handeln und verwalten. Hierfür bietet Rakuten Wallet den Nutzern verschiedene Sicherheitsstandards. Denn neben der Verwaltung des Kundenvermögens in einer Treuhandgesellschaft, werden aktuelle Cyber-Sicherheits-Verfahren eingesetzt.

Angesagt

Binance kündigt Stable-Coin-Projekt Venus an
Unternehmen

Binance will mit Venus ein neues Stable-Coin-Projekt ins Rollen bringen. Die Bitcoin-Börse spricht von einer „regionalen“ Version des Facebook Coins Libra. Mit Details geizt Binance bislang.

Altcoin-Marktanalyse – Litecoin-Kurs gibt trotz Halvings stark ab
Kursanalyse

Alle Top-10-Coins haben in der vergangenen Woche abermals Kursverluste zu verzeichnen.

Wegen Libra: US-Delegation besucht Schweiz
Krypto

Eine sechsköpfige Delegation des US-Repräsentantenhauses reist in die Schweiz – offenbar auch, um über den „Facebook Coin“ Libra zu reden. Schließlich will sich Libra auch im schweizerischen Genf ansiedeln. Für Freitag, den 23. August, ist ein Treffen mit dem eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Adrian Lobsiger angesetzt.

Berliner STO-Plattform Black Manta Capital erhält BaFin-Lizenz
STO

Das Blockchain-Unternehmen Black Manta erhält eine BaFin-Lizenz. Damit darf die STO-Plattform ab sofort aus Deutschland heraus europaweit operieren.

Warte mal kurz ... !

Kennst du schon unseren Newsletter? Wir versorgen dich kostenlos mit den spannendsten News der Krypto- und Blockchainszene: