- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Malware macht Geld


Krypto-Mining: Neue Malware nutzt Sicherheitslücke in Microsoft aus
Eset empfiehlt Nutzern von Windows Server 2003 dringend Sicherheitsupdates

- Anzeigen -





Eset hat eine neue Bedrohung entdeckt, die Windows Web-Server infiziert und die Kryptowährung Monero "abgräbt". Monero ist eine neuere Alternative zum digitalen Zahlungsmittel Bitcoin. Die Cyberkriminellen modifizieren die Open-Source-Mining-Software von Monero für ihre Zwecke, um eine bekannte Sicherheitslücke in Microsoft IIS 6.0 auszunutzen.

Im Laufe von drei Monaten haben sie durch die Kampagne ein Botnet von mehreren hundert infizierten Servern aufgebaut und Monero im Wert von über 63.000 US-Dollar anhäufen lassen. Microsoft hat inzwischen ein Update veröffentlicht, das die Sicherheitslücke schließt – aber noch immer sind viele Server ungepatcht.

Die Malware-Experten von Eset gehen davon aus, dass die Cyberkriminellen bereits seit Mai 2017 agieren: "Auch wenn die Kryptowährung noch nicht so verbreitet ist wie Bitcoin, gibt es mehrere gute Gründe, warum sich Angreifer auf Monero spezialisieren", erklärt Peter Kálnai, Malware Researcher bei Eset. "Funktionen wie nicht zurückverfolgbare Transaktionen und der Proof-of-Work-Algorithmus CryptoNight, der die zentrale Recheneinheit eines Computers oder Servers bevorzugt, machen Monero zu einer attraktiven Alternative für Cyberkriminelle. Im Vergleich dazu wird für Bitcoin-Mining spezielle Mining-Hardware benötigt."

Sicherheitslücken ausnutzen
Die Angreifer fügten lediglich eine fest kodierte Befehlszeile mit ihrer Crypto-Wallet-Adresse und ihrer Mining-Pool-URL zum ursprünglichen Code der Software hinzu. Dafür benötigten sie möglicherweise nicht länger als ein paar Minuten. Das verdeutlicht, dass nur minimale Fähigkeiten und geringer Aufwand nötig sind, um mit Krypto-Mining großen finanziellen Schaden anzurichten. In diesem Fall wurde eine legitime Open-Source-Mining-Software genutzt. Zudem wurden gezielt alte Systeme angegriffen, die wahrscheinlich nicht gepatcht wurden.

Microsoft hat den regulären Update-Support für Windows Server 2003 im Juli 2015 eingestellt und den Patch für diese spezifische Sicherheitslücke erst im Juni 2017 veröffentlicht, nachdem mehrere schwerwiegende Lücken für ältere Systeme von Malware-Entwicklern entdeckt wurden. Trotz des End-of-Life-Status des Systems hat Microsoft diese kritische Sicherheitslücke nun geschlossen, um großflächige Angriffe – wie etwa bei der WannaCry-Attacke im Mai 2017 – zu vermeiden.

Dennoch ist nicht garantiert, dass automatische Updates immer einwandfrei funktionieren. "Eine erhebliche Zahl von Systemen sind immer noch verwundbar. Deshalb sollten Nutzer von Windows Server 2003 unbedingt das Sicherheitsupdate KB3197835 sowie weitere kritische Patches so schnell wie möglich installieren – nur Not manuell", so Kálnai. (Eset: ra)

eingetragen: 06.11.17
Home & Newsletterlauf: 08.12.17


Eset: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Point-of-Sale-Malware "LockPOS"

    Die "LockPOS" genannte Point-of-Sale-Malware wurde erstmals 2017 beobachtet. Es handelt sich um einen Infostealer, der Daten von Zahlungskarten wie Kreditkarten aus dem Speicher der betroffenen Point-of-Sale-Systeme abzieht. Sicherheitsanalyst Henok Asfaw, Senior Threat Researcher beim Spezialisten für KI-basierende Malware-Abwehr bei Cylance, hat sich die jüngste Variante von LockPOS in seinem aktuellen Blog genauer angesehen. LockPOS hat - wie dokumentiert - die Injection-Technik so verändert, dass sie die Malware nun direkt im Kernel, also dem Betriebssystemkern, platziert. Das macht es bedeutend schwieriger die Schadsoftware aufzudecken und dient in erster Linie dazu traditionell arbeitende Antivirenlösungen zu umgehen.

  • Krypto-Mining mithilfe von Exploit-Kits

    Krypto-Währungen wie Bitcoin, Monero und Co. sind inzwischen nicht nur Digital-Virtuosen ein Begriff, sondern auch der breiteren Masse bekannt - es ist daher keine Überraschung, dass auch Cyber-Kriminelle von der wachsenden Popularität der Krypto-Währungen profitieren möchten. Sicherheitsforscher von Malwarebytes haben nun einen Anstieg von Exploit-Kits in Verbindung mit Crypto-Mining registriert: Infizierte PCs schürfen dabei im Hintergrund und ohne Wissen des Opfers Krypto-Währungen für den Initiator der Malware. Verbreitet wird die Schadsoftware dabei immer häufiger über Exploit-Kits - so auch bei den sich häufenden Drive-By-Download-Attacken der aktuellen Ngay-Kampagne.

  • Backdoor Mosquito übermittelt geheime Infos

    Die Spionage-Gruppe "Turla" übt derzeit gezielte Angriffe auf hochrangige Diplomaten und politische Organisationen in Osteuropa aus. Der in der Vergangenheit erfolgreiche Modus Operandi mit infizierten Flash Player Installern besitzt einen gefährlichen neuen Zusatz: Die Installationsdateien gaukeln Vertrauenswürdigkeit vor, indem sie scheinbar von der offiziellen Webseite des Softwareabieters Adobe heruntergeladen werden. So führen sie auch sicherheitsbewusste Landesvertreter hinters Licht.

  • Werbeanzeigen lösen Wi-Fi-Verbindungen aus

    Die Sicherheitsforscher von Check Point Software Technologies haben die neue Adware "LightsOut" in Google Play entdeckt. Die Malware wurde in 22 unterschiedlichen Flashlight- und Dienstprogramm-Anwendungen im offiziellen App-Store von Google gefunden. Dabei geht man von einer erreichten Verbreitung von 1,5 Millionen bis 7,5 Millionen Downloads aus. Ziel von LightsOut war die Generierung illegaler Werbeeinnahmen auf Kosten seiner ahnungslosen Opfer.

  • Zielrichtung E-Mail und Social Media

    Der Banking-Trojaner Terdot, der ursprünglich auf Online-Banking und Zahlungsvorgänge abzielte, feiert gerade Comeback als Instrument zum Diebstahl von Daten und Anmeldeinformationen. Ein aktuell veröffentlichtes Whitepaper von Bitdefender zeichnet detailliert nach, wie der Trojaner entstanden ist, wie er sich ausbreitet und tarnt, was er an Fähigkeiten heute besitzt und wie er sich noch entwickeln könnte. Leser erhalten mit der detaillierten technischen Analyse ein Musterbeispiel, wie Cyberkriminelle heute ihre Attacken individualisieren und perfektionieren. Seine Fähigkeiten gehen über den Primärzweck eines Banking-Trojaners weit hinaus: Terdot kann unter anderem durch einen leistungsstarken Man-in-the-Middle-Proxy sensible Daten aus dem gesamten Internetverkehr eines Users filtern und weiterleiten. Zudem ist es ihm möglich, Browser-Informationen wie Login-Daten und Kreditkarteninformationen zu stehlen und HTML-Code in besuchte Webseiten zu injizieren.