GhostMiner tarnt sich
Wie die IT-Sicherheitsfirma Minerva auf ihrem Blog festhält, ist Krypto-Mining seit etwa drei Monaten kein Nischenthema mehr. Die Verbreitung des GhostMiner erfolgt mittels einer infizierten .exe-Datei, die das Opfer ausführen muss. Mehrere Teile des Programms sorgen dafür, für Antivirenprogramme unsichtbar zu sein. Man entdeckte den GhostMiner zudem in den Datenbanken von Webservern. Das Mining findet ausschließlich im Arbeitsspeicher statt, weswegen keine dauerhaften Spuren hinterlassen werden. Nach der Übernahme löscht das Programm im ersten Schritt alle anderen Mining-Programme. Danach sucht das Programm über diverse TCP-Ports einen Weg ins Internet, um sich zu verbreiten. Allen anderen Mining-Programmen wird der Zugang zum Internet abgeschnitten.
Bisher war die Ausbeute noch nicht sonderlich groß. Minerva hat berechnet, dass das Programm bislang Monero im Wert von etwa 200 US-Dollar schürfte. Die Schadsoftware ist dennoch sehr ausgefeilt, weil viele Antivirenprogramme den GhostMiner weder bei der Verbreitung noch beim Schürfen erwischen können. Das Unternehmen hat bei GitHub einen eigenen MinerKiller auf Basis des Quellcodes der Schadsoftware veröffentlicht, der wirklich alle Schürfprogramme löscht. Das Programm sollen aber nur Experten einsetzen, warnt Minerva, ansonsten bestünde die Gefahr, dass man zu viel entfernt.
Github zunehmend zur Verbreitung von Mining-Software missbraucht
Die Programmierer-Plattform Github wurde in letzter Zeit vermehrt von Cyberkriminellen eingesetzt, die von dort ihre Schadprogramme zum Download anbieten. So werden auf diversen Webseiten ahnungslosen Nutzern angebliche „Updates“ für Flash- oder andere Plug-ins angeboten. Wer sie benutzen will, muss die Browser-Erweiterung bei Github herunterladen und im eigenen Browser aktivieren. Der tatsächliche Download-Link wird häufig mithilfe des seriösen Link-Dienstes bit.ly verschleiert. Kaum ist das „Update“ installiert, läuft auf den Windows-Rechnern das Schürf-Skript los. Wie AVAST berichtet, haben es die Hacker primär auf die Nutzer des Browsers Google Chrome abgesehen. Wahrscheinlich wegen der weltweit steigenden Nutzerzahlen dieses Webbrowsers. Andere Betriebssysteme als Windows spielen bei der Infektion übrigens so gut wie keine Rolle.
BTC-ECHO