Python-basierter Crypto-Miner bedroht Linux-Nutzer

PyCryptoMiner verbreitet sich über das SSH-Protokoll. Linux-Systeme infiziert die Malware per Brute-Force-Angriff. Aktuell ist das Botnet jedoch inaktiv. Bis Ende Dezember 2017 sollen die Hintermänner Bitcoins im Wert von 46.000 Dollar geschürft haben.

F5 Networks warnt vor einem in der Skriptsprache Python erstellten Crypto Miner, der sich derzeit über das SSH-Protokoll verbreitet. Davon betroffen sind Linux-Betriebssysteme. Infizierte Geräte werden zu einem Botnetz hinzugefügt, um die Cryptowährung Monero zu schürfen.

Python (Bild: Python.org)Den Sicherheitsforschern zufolge sucht das Botnet aktiv nach möglicherweise anfälligen Linux-Maschinen. Anschließend versucht es, die SSH-Anmeldedaten zu erraten, um eine Verbindung herzustellen und die PyCryptoMiner genannte Schadsoftware einzuschleusen. Ein erstes Skript stellt dafür eine Verbindung zu einem Befehlsserver her, um von dort weitere Befehle und Skripte zu erhalten.

Die Adresse des Befehlsservers im Internet sei nicht fest in dem schädlichen Skript verankert, so die Forscher weiter. Die Entwickler des Botnets nutzten stattdessen Pastebin, um aktuelle Adressen zu veröffentlichen, was einen Wechsel zu neuen Serveradressen erleichtere. Hosting-Dienste wie Pastebin böten den Vorteil, dass sie sich nicht vollständig abschalten oder sperren ließen.

Auf Pastebin nutzen die Cyberkriminellen demnach den Nutzernamen „Whathappen“, der mit anderen Befehlsservern sowie der Online-Identität „Xinqian Rhys“ in Verbindung gebracht wird. Sie sollen Zugriff auf mehr als 36.000 Domains haben, die unter anderem für Betrug, Online-Glücksspiel und pornografische Inhalte benutzt werden.

PyCryptoMiner wiederum richtet auf einem infizierten Linux-System einen Cron Job ein, um seine Ausführung zu automatisieren. Zudem sammelt er Informationen über das Betriebssystem, die Hardware und die CPU-Nutzung. Außerdem prüft das Skript, ob das System bereits infiziert wurde.

Darüber hinaus stellten die Forscher während ihren Untersuchungen fest, dass die Skripte laufend weiterentwickelt werden. Hinzu kam zuletzt eine Suche nach JBoss-Servern, die anfällig für Angriffe auf die vor wenigen Monaten veröffentlichte Schwachstelle CVE-2017-12149 sind.

Aktuell sind die Befehlsserver des Botnets jedoch inaktiv. Laut F5 Networks müssten die Hintermänner lediglich die Serveradressen aktualisieren, um das Botnet wieder in Betrieb zu nehmen. Bis einschließlich Dezember 2017 soll das Botnet 46.000 Dollar generiert haben.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

[mit Material von Charlie Osborne, ZDNet.com]

Themenseiten: Bitcoin, F5 Networks, Linux, Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Python-basierter Crypto-Miner bedroht Linux-Nutzer

Kommentar hinzufügen
  • Am 5. Januar 2018 um 13:02 von Sunny Marx

    Also Entwarnung für alle Admins mit Köpfchen.

    Der SSH-Port sollte eh geändert sein, der Root-Login eh generell über SSH deaktiviert und von daher gibts viele Milliarden Kombinationen allein beim Passwort. Und der Benutzer muss auch noch erraten werden.

    Noch besser, man sichert das ganze über Keys ab. Dann klappt verläuft ein Brute-Force-Angriff eh im Nirvana.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *