Microsoft meldet massiven Ausbruch von Krypto-Malware

Innerhalb weniger Stunden verbreitete sich ein Schädling, der die Rechner der Opfer für das Rechnen der Währung Electroneum missbrauchte, auf knapp 500.000 Windows-PC. Inzwischen ist der Ausbruch gestoppt.

Microsoft hat den massiven Ausbruch einer Krypto-Malware eingedämmt. Der Trojaner Dofoil oder wie er von Malwarebytes genannt wird Smoke Loader verbreitete sich innerhalb weniger Stunden auf knapp einer halben Million Geräte. Ziel der Malware ist, die Rechenleistung der befallenen PCs zu nutzen, um damit für die Krypto-Währung Electroneum zu schürfen.

Am 6. März etwa um die Mittagszeit hatte Microsoft Defender Antivirus knapp 80.000 infizierte Instanzen entdeckt. Innerhalb der nächsten 12 Stunden hatte die Microsoft-Anti-Malware-Lösung mehr als 400.000 infizierter Rechner entdeckt. Die meisten davon waren in Russland beheimatet. Aber auch in der Türkei und in der Ukraine wurden Systeme befallen.

Windows Defender schlägt auf die Technik Process Hollowing an (Bild: Microsoft). Windows Defender schlägt auf die Technik Process Hollowing an (Bild: Microsoft).

Dofoil war unter anderem auch deshalb so erfolgreich, weil es das so genannte Process Hollowing verwendet. Dabei wird dem Betriebssystem vorgegaukelt, dass es sich um eine legitime Anwendung handelt. Dofoil nutzt die explorer.exe und tauscht diese legitime Binary gegen den Code der Malware aus.

„Der ausgehölte explorer.exe-Prozess setzt dann eine weitere, bösartige Instanz auf, die dann die Coin-Mining-Malware herunterlädt und – als legitimes Windows-Binary wuauclt.exe verkleidet – startet“, erklärt Mark Simos, Sicherheitsarchitekt bei Microsoft in einem Blog. Um auch weiterhin auf dem PC bleiben zu können, ändert Dofoil die Windows-Registry, nachdem explorer.exe ausgehölt wurde.

„Der manipulierte explorer.exe-Prozess erstellt eine Kopie der ursprünglichen Malware im Roaming AppData-Folder und nennt ihn anschließend in ditereah.exe um. Dann wird ein Registry-Key erstellt oder ein bestehender modifiziert, so dass dieser auf die neu kreierte Malware-Kopie verweist. In dem Sample, das wir analysiert hatten, wurde der OneDrive Run Key modifiziert“, kommentiert Simos.
Laut Simons habe Microsoft mit Hilfe von Machine Learning Metadaten analysiert und „innerhalb von Millisekunden“ eine Anomalie erkannt, weil verschiedene Kommandos und auch der Netzwerk-Traffik auffällig gewesen sein.

Diese Technik wird im Umfeld von Krypto-Malware seit der zweiten Jahreshälfte 2017 beobachtet. Sicherheitsexperten sehen eine deutliche Zunahme dieser Form von Malware, weil es offenbar einfach ist, damit Geld zu verdienen als etwa mit Ransomware, da viele Betroffene die Zahlung der geforderten Erpressergelder verweigern.

Dieses Risiko entfällt bei dieser Masche. Zudem werden viele Nutzer eine Infektion nur daran bemerken, dass die CPU und Lüftung auf Volllast laufen, was nicht jedes Opfer sofort mit einer Malware in Verbindung bringt. Laut einer Analyse von Kaspersky werden die Opfer meist dann infiziert, wenn sie eine augenscheinlich legitime Software herunterladen.

Anfang des Jahres wurde auch ein Fall bekannt, bei dem Unbekannte einen Oracle WebLogic-Server gekapert hatten, um damit die Krypto-Währung Monero zu minen. Diese Kampagne hatte innerhalb weniger Monate rund 200.000 Dollar eingebracht. Es war bislang keinesfalls die größte Kampagne: Ein Netzwerk aus infizierten Rechnern hatte zu Beginn des Jahres insgesamt knapp 4300 Moneros geschürft, das zu dem Zeitpunkt zwischen 1,3 und 1,7 Millionen Dollar entsprach.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

IDC-Studie: IT-Security in Deutschland 2018

Der Executive Brief "IT-Security in Deutschland 2018" bietet IT- und Fachbereichsentscheidern auf Basis der Studien-Highlights Best Practices und Empfehlungen für die Stärkung der IT-Sicherheit in ihrem Unternehmen.

Themenseiten: Bitcoin, Malware, Microsoft

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Microsoft meldet massiven Ausbruch von Krypto-Malware

Kommentar hinzufügen
  • Am 9. März 2018 um 7:52 von Gast

    Wann wird MS endlich die Hash-Basierte Versiegelung per Whitelist für alle Windows Versionen auf eine einfach konfigurierbare Weise unterstützen? Dann kann das Ding nicht einfach Explorer.exe austauschen und starten, weil dann der Hash ein anderer ist. Zudem wäre es fraglich, ob es überhaupt auf einen per Hash-Whitelist sauber abgesicherten Rechner kommen würde.
    Oder MS soll wenigstens endlich die Enterprise Versionen auch für Normalkunden zum Kauf freigeben (Kauf, nicht E3 oder E5 Miete), damit man Applocker, DeviceGuard, Application Control usw. auch privat einsetzen kann?

    • Am 12. März 2018 um 9:10 von Randy mit y

      AppLocker und DeviceGuard sind ein wunderbares Stück Software – aber damit muss man umgehen können sonst zerschießt man sich sein System vollends. Genau das würde passieren wenn Hobbytüftler damit einfach rumspielen würden

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *