Coinminer-Botnet missbraucht mehr als eine halbe Million Computer

Eset hat eine Cryptomining-Kampagne von Cyberkriminellen enttarnt. Die Hintermänner gehören demnach zur Hackergruppe Stantinko, die über eines der größten Botnetze weltweit verfügen soll. Bisher nutzten sie die mehr als 500.000 Rechner unter anderem für den Diebstahl von Anmeldedaten, Betrug und Manipulation von Werbebannern.

Damit ihre Aktivitäten unentdeckt bleiben, setzen die Hacker auf eine einfache, aber effektive Methode. Öffnen Opfer den Task-Manager oder geht das infizierte Gerät in den Akkumodus, schließt sich der Coinminer und bleibt damit unsichtbar.

Den Sicherheitsforschern zufolge ist die jetzt aufgedeckte Kampagne wohl schon seit August 2018 aktiv und sichert seitdem die Monetarisierung des Botnets. Geschürft wird die Kryptowährung Montero. Die Computer des Botnets stehen indes in erster Linie in Ländern wie Russland, Ukraine, Weißrussland und Kasachstan.

Den Erfolg ihrer Kampagne sichern die Cyberkriminellen mit einer ausgefeilten Verschleierungstaktik. Sie beginnt mit einer zufällige Obfuskation auf Quellcode-Ebene. Zudem stellen die Hacker das Malware-Modul für jedes Opfer individuell zusammen, was jedes untersuchte Muster zu einem Unikat machen soll. Die Code-Verschleierung mache es wiederum nahezu unmöglich, alle Code-Änderungen zu verfolgen.

Das Cryptomining-Modul basiert der Analyse zufolge auf einer stark angepassten Version des Open-Source-Cryptominers xmr-stak. Unter anderem seien Zeichenketten und sogar ganze Funktionen entfernt worden, um eine Erkennung durch Antivirenprogramme zu vermeiden. Geblieben sei jedoch der hohe Leistungsbedarf des Cryptominers, der in Einzelfällen selbst das Öffnen des Browsers „zum Geduldspiel“ mache, ergänzten die Forscher.

Zur Kommunikation mit seinem Mining-Pool nutzt der Coinminer Proxys, deren IP-Adressen aus Beschreibungstexten von Youtube-Videos abgerufen werden. Das Mining-Modul selbst erhält eine Youtube-Video-ID als Befehlszeilenparameter, woraus dann die Video-URL erstellt wird. Auf Betreiben von Eset wurden inzwischen alle Video-Kanäle, die für die Kommunikation mit der Malware missbraucht wurden, entfernt.

Der Cryptominer selbst ist zudem in der Lage, andere Mining-Aktivitäten auf einem infizierten System zu beenden. Darüber hinaus sucht er nach laufenden Prozessen, um Antivirenprogramme aufzuspüren.

„Es überrascht nicht, dass die Kriminellen hinter Stantinko neue Wege suchen, um die finanziellen Gewinne durch das Botnetz weiter zu erhöhen. Cryptomining ist ertragreicher und schwerer nachzuverfolgen als ihr altes Kerngeschäft Adware“, erklärte Thomas Uhlemann, ESET Security Specialist.

Die Verbreitung von Stantinko erfolgt ihm zufolge unter anderem über illegale Raubkopien kommerzieller Software und Spiele. Wer annehme, dabei ein Schnäppchen zu machen, werde schließlich eines besseren belehrt.

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Nach Klage von Amazon: US-Bundesgericht stoppt Auftragsvergabe an Microsoft

Es entspricht einem Antrag von Amazon Web Services. Die Begründung seiner Entscheidung hält das Gericht derzeit unter Verschluss. Microsoft und…

2 Tagen ago

Niederlage für Apple: US-Gericht wertet Durchsuchung von Mitarbeitern als Arbeitszeit

Zwei Mitarbeiter klagen wegen der unbezahlten Durchsuchung ihrer Taschen. Die vorgeschriebene Kontrolle kostet sie täglich bis zu 30 Minuten. In…

2 Tagen ago

Schwachstellen in Bluetooth LE betreffen Hunderte Produkte wie Smart Home und Smartwachtes

Anfällig sind SoCs von Herstellern wie Texas Instruments, Dialog, NXP, STMicroelectronics. Sie finden sich in Produkten von FitBit, August und…

2 Tagen ago

FireEye warnt vor staatlich geförderten Cyber-Attacken auf Ziele in Deutschland

Wichtige Herkunftsländer sind Russland, China und Iran. Inzwischen stuft FireEye Cyber-Spionage als regelmäßige Bedrohung für den öffentlichen und privaten Sektor…

2 Tagen ago

Bildergalerie: Xiaomi Mi 10 Pro

Mit der Mi-10-Serie liefert Xiaomi zwei Smartphones, die den neuen Mobilfunkstandard 5G unterstützen und mit einer 108-Megapixelkamera ausgestattet sind.

2 Tagen ago

Windows 10: Preview bringt neue Grafik- und Kalenderfunktionen

Nutzer können nun Apps einer bestimmten Grafikkarte zuordnen. Der neue Kalender bietet eine überarbeite Monatsansicht und vereinfacht das Erstellen neuer…

2 Tagen ago