Coinminer-Botnet missbraucht mehr als eine halbe Million Computer

Eset hat eine Cryptomining-Kampagne von Cyberkriminellen enttarnt. Die Hintermänner gehören demnach zur Hackergruppe Stantinko, die über eines der größten Botnetze weltweit verfügen soll. Bisher nutzten sie die mehr als 500.000 Rechner unter anderem für den Diebstahl von Anmeldedaten, Betrug und Manipulation von Werbebannern.

Damit ihre Aktivitäten unentdeckt bleiben, setzen die Hacker auf eine einfache, aber effektive Methode. Öffnen Opfer den Task-Manager oder geht das infizierte Gerät in den Akkumodus, schließt sich der Coinminer und bleibt damit unsichtbar.

Den Sicherheitsforschern zufolge ist die jetzt aufgedeckte Kampagne wohl schon seit August 2018 aktiv und sichert seitdem die Monetarisierung des Botnets. Geschürft wird die Kryptowährung Montero. Die Computer des Botnets stehen indes in erster Linie in Ländern wie Russland, Ukraine, Weißrussland und Kasachstan.

Den Erfolg ihrer Kampagne sichern die Cyberkriminellen mit einer ausgefeilten Verschleierungstaktik. Sie beginnt mit einer zufällige Obfuskation auf Quellcode-Ebene. Zudem stellen die Hacker das Malware-Modul für jedes Opfer individuell zusammen, was jedes untersuchte Muster zu einem Unikat machen soll. Die Code-Verschleierung mache es wiederum nahezu unmöglich, alle Code-Änderungen zu verfolgen.

Das Cryptomining-Modul basiert der Analyse zufolge auf einer stark angepassten Version des Open-Source-Cryptominers xmr-stak. Unter anderem seien Zeichenketten und sogar ganze Funktionen entfernt worden, um eine Erkennung durch Antivirenprogramme zu vermeiden. Geblieben sei jedoch der hohe Leistungsbedarf des Cryptominers, der in Einzelfällen selbst das Öffnen des Browsers „zum Geduldspiel“ mache, ergänzten die Forscher.

Zur Kommunikation mit seinem Mining-Pool nutzt der Coinminer Proxys, deren IP-Adressen aus Beschreibungstexten von Youtube-Videos abgerufen werden. Das Mining-Modul selbst erhält eine Youtube-Video-ID als Befehlszeilenparameter, woraus dann die Video-URL erstellt wird. Auf Betreiben von Eset wurden inzwischen alle Video-Kanäle, die für die Kommunikation mit der Malware missbraucht wurden, entfernt.

Der Cryptominer selbst ist zudem in der Lage, andere Mining-Aktivitäten auf einem infizierten System zu beenden. Darüber hinaus sucht er nach laufenden Prozessen, um Antivirenprogramme aufzuspüren.

„Es überrascht nicht, dass die Kriminellen hinter Stantinko neue Wege suchen, um die finanziellen Gewinne durch das Botnetz weiter zu erhöhen. Cryptomining ist ertragreicher und schwerer nachzuverfolgen als ihr altes Kerngeschäft Adware“, erklärte Thomas Uhlemann, ESET Security Specialist.

Die Verbreitung von Stantinko erfolgt ihm zufolge unter anderem über illegale Raubkopien kommerzieller Software und Spiele. Wer annehme, dabei ein Schnäppchen zu machen, werde schließlich eines besseren belehrt.

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Trickbot-Trojaner hebelt Benutzerkontensteuerung von Windows 10 aus

Eine neue Variante nutzt einen als Fodhelper bezeichneten Bypass. Dabei kommt eine legitime Windows-Datei zum Einsatz. Sie soll Nutzern eigentlich…

29 Minuten ago

Türkei hebt nach fast drei Jahren Sperre von Wikipedia auf

Die Regierung setzt ein Urteil des Obersten Gerichtshofs um. Der stuft die Blockade als verfassungswidrig ein. Das Gericht folgt seiner…

2 Stunden ago

Google stellt Chrome-Apps auf allen Plattformen ein

Die Änderung gilt schon in diesem Jahr für Windows, macOS und Linux. Unter Chrome OS gibt Google seinen Kunden mehr…

4 Stunden ago

Januar-Patchday: Oracle schließt 334 Lücken in seinen Produkten

Es sind insgesamt 94 Produkte betroffen. 191 Schwachstellen lassen sich aus der Ferne ohne Eingabe von Anmeldedaten ausnutzen. Die Gesamtzahlen…

6 Stunden ago

Proof-of-Concept-Exploits für NSA-Crypto-Lücke in Windows veröffentlicht

Es liegen mindestens drei verschiedene Exploits vor, von denen zwei öffentlich verfügbar sind. Das erhöht die Wahrscheinlichkeit von Angriffen deutlich.…

7 Stunden ago

Mozilla entlässt 70 Mitarbeiter – auch führende Manager

Das Unternehmen reagiert auf sinkende Nutzerzahlen und den damit verbundenen Umsatzrückgang. CEO Mitchell Baker räumt ein, dass der Aufbau neuer…

23 Stunden ago