Python-basierter Crypto-Miner bedroht Linux-Nutzer

F5 Networks warnt vor einem in der Skriptsprache Python erstellten Crypto Miner, der sich derzeit über das SSH-Protokoll verbreitet. Davon betroffen sind Linux-Betriebssysteme. Infizierte Geräte werden zu einem Botnetz hinzugefügt, um die Cryptowährung Monero zu schürfen.

Den Sicherheitsforschern zufolge sucht das Botnet aktiv nach möglicherweise anfälligen Linux-Maschinen. Anschließend versucht es, die SSH-Anmeldedaten zu erraten, um eine Verbindung herzustellen und die PyCryptoMiner genannte Schadsoftware einzuschleusen. Ein erstes Skript stellt dafür eine Verbindung zu einem Befehlsserver her, um von dort weitere Befehle und Skripte zu erhalten.

Die Adresse des Befehlsservers im Internet sei nicht fest in dem schädlichen Skript verankert, so die Forscher weiter. Die Entwickler des Botnets nutzten stattdessen Pastebin, um aktuelle Adressen zu veröffentlichen, was einen Wechsel zu neuen Serveradressen erleichtere. Hosting-Dienste wie Pastebin böten den Vorteil, dass sie sich nicht vollständig abschalten oder sperren ließen.

Auf Pastebin nutzen die Cyberkriminellen demnach den Nutzernamen „Whathappen“, der mit anderen Befehlsservern sowie der Online-Identität „Xinqian Rhys“ in Verbindung gebracht wird. Sie sollen Zugriff auf mehr als 36.000 Domains haben, die unter anderem für Betrug, Online-Glücksspiel und pornografische Inhalte benutzt werden.

PyCryptoMiner wiederum richtet auf einem infizierten Linux-System einen Cron Job ein, um seine Ausführung zu automatisieren. Zudem sammelt er Informationen über das Betriebssystem, die Hardware und die CPU-Nutzung. Außerdem prüft das Skript, ob das System bereits infiziert wurde.

Darüber hinaus stellten die Forscher während ihren Untersuchungen fest, dass die Skripte laufend weiterentwickelt werden. Hinzu kam zuletzt eine Suche nach JBoss-Servern, die anfällig für Angriffe auf die vor wenigen Monaten veröffentlichte Schwachstelle CVE-2017-12149 sind.

Aktuell sind die Befehlsserver des Botnets jedoch inaktiv. Laut F5 Networks müssten die Hintermänner lediglich die Serveradressen aktualisieren, um das Botnet wieder in Betrieb zu nehmen. Bis einschließlich Dezember 2017 soll das Botnet 46.000 Dollar generiert haben.

[mit Material von Charlie Osborne, ZDNet.com]