Unfreiwilliges Monero-Mining mit dem GhostMiner

Der GhostMiner fiel kürzlich den Sicherheitsforschern von Minerva Labs auf. Diese Krypto-Mining-Software führt den Befall der PCs sehr zielgerichtet und ohne Spuren zu hinterlassen durch. Als Besonderheit entfernt das Programm direkt nach der Übernahme alle anderen Mining-Skripte vom Zielrechner, um die eigenen Umsätze zu maximieren.
GhostMiner tarnt sich

GhostMiner tarnt sich

Wie die IT-Sicherheitsfirma Minerva auf ihrem Blog festhält, ist Krypto-Mining seit etwa drei Monaten kein Nischenthema mehr. Die Verbreitung des GhostMiner erfolgt mittels einer infizierten .exe-Datei, die das Opfer ausführen muss. Mehrere Teile des Programms sorgen dafür, für Antivirenprogramme unsichtbar zu sein. Man entdeckte den GhostMiner zudem in den Datenbanken von Webservern. Das Mining findet ausschließlich im Arbeitsspeicher statt, weswegen keine dauerhaften Spuren hinterlassen werden. Nach der Übernahme löscht das Programm im ersten Schritt alle anderen Mining-Programme. Danach sucht das Programm über diverse TCP-Ports einen Weg ins Internet, um sich zu verbreiten. Allen anderen Mining-Programmen wird der Zugang zum Internet abgeschnitten.

Bisher war die Ausbeute noch nicht sonderlich groß. Minerva hat berechnet, dass das Programm bislang Monero im Wert von etwa 200 US-Dollar schürfte. Die Schadsoftware ist dennoch sehr ausgefeilt, weil viele Antivirenprogramme den GhostMiner weder bei der Verbreitung noch beim Schürfen erwischen können. Das Unternehmen hat bei GitHub einen eigenen MinerKiller auf Basis des Quellcodes der Schadsoftware veröffentlicht, der wirklich alle Schürfprogramme löscht. Das Programm sollen aber nur Experten einsetzen, warnt Minerva, ansonsten bestünde die Gefahr, dass man zu viel entfernt.

Github zunehmend zur Verbreitung von Mining-Software missbraucht

Die Programmierer-Plattform Github wurde in letzter Zeit vermehrt von Cyberkriminellen eingesetzt, die von dort ihre Schadprogramme zum Download anbieten. So werden auf diversen Webseiten ahnungslosen Nutzern angebliche „Updates“ für Flash- oder andere Plug-ins angeboten. Wer sie benutzen will, muss die Browser-Erweiterung bei Github herunterladen und im eigenen Browser aktivieren. Der tatsächliche Download-Link wird häufig mithilfe des seriösen Link-Dienstes bit.ly verschleiert. Kaum ist das „Update“ installiert, läuft auf den Windows-Rechnern das Schürf-Skript los. Wie AVAST berichtet, haben es die Hacker primär auf die Nutzer des Browsers Google Chrome abgesehen. Wahrscheinlich wegen der weltweit steigenden Nutzerzahlen dieses Webbrowsers. Andere Betriebssysteme als Windows spielen bei der Infektion übrigens so gut wie keine Rolle.

BTC-ECHO

Bitcoin

Ethereum

Altcoins

Investment

Szene

Politik

Technologie

NFT

Metaverse

Alle News

Alle Plus+ Inhalte

BTC-ECHO Plus+ abonnieren

Masterclasses

Basics

Invest

Experts

Recap

Börsen & Broker

Wallets

Steuersoftware

Mining

Staking

Alle Vergleiche

Bitcoin-Kurs

Ethereum-Kurs

BNB-Kurs

Ripple-Kurs

Cardano-Kurs

Solana-Kurs

Dogecoin-Kurs

Alle Kurse

Bitcoin kaufen

Bitcoin kaufen mit Paypal

Bitcoin kaufen mit Kreditkarte

Bitcoin Sparplan einrichten

Bitcoin kaufen mit Hebel

Ethereum kaufen

Solana kaufen

Ripple kaufen

Cardano kaufen

Binance-Coin kaufen

Dogecoin kaufen

Verasity kaufen

Bitcoin Rechner

Ethereum Rechner

Krypto Rechner

GhostMiner tarnt sich

Github zunehmend zur Verbreitung von Mining-Software missbraucht

J.P. Morgan-Chef Jamie Dimon: "Bitcoin ist Betrug"

Bitcoin Halving: BTC-Inflationsrate halbiert sich zum vierten Mal

Bitcoin: So bullish ist der BTC-Kurs vor dem Halving