Chaos RAT schürft Kryptowährung

Die neue Kryptojacking-Kampagne, die im November entdeckt wurde, integriert einen Remote-Access-Trojaner (RAT) in ihre Angriffe. Der Trojaner mit der Bezeichnung Chaos RAT ist kostenlos und quelloffen und ermöglicht es Angreifern, entfernte Betriebssysteme zu kontrollieren.

Wie mehrere andere Krypto-Mining-Kampagnen kompromittiert auch diese heimlich Linux-Systeme und nutzt deren Rechenleistung, um die Kryptowährung Monero zu schürfen, so die Cyber-Sicherheitsforscher von Trend Micro. Kryptomining-Angriffe werden oft durch Ausnutzung allgemeiner Sicherheitslücken verbreitet oder sind in geknackten Software-Downloads versteckt.

Wenn ein einzelnes System mit Kryptomining-Malware kompromittiert wird, ist es unwahrscheinlich, dass viel Gewinn erzielt wird, aber die Angreifer infizieren ein großes Netzwerk infizierter Systeme und Server, um so viel Kryptowährung wie möglich zu generieren – wobei die damit verbundene Stromrechnung ungewollt vom Opfer übernommen wird.

Die Angriffe bleiben oft unentdeckt, da es unwahrscheinlich ist, dass der kompromittierte Benutzer den Leistungsabfall seines Systems bemerkt, es sei denn, der Rechner wird zu stark belastet.

Das Haupt-Downloader-Skript und weitere Payloads werden an verschiedenen Orten gehostet, um sicherzustellen, dass die Kampagne aktiv bleibt und sich ständig weiter verbreitet. Die Skripte zeigen, dass der Hauptserver, der auch für das Herunterladen von Payloads verwendet wird, in Russland zu stehen scheint. Historische Whois-Daten zeigen, dass er auch für Cloud Bulletproof Hosting verwendet wird (ein Modus Operandi, der früher von Hacker-Teams – unter Verwendung von Open-Source-Tools – eingesetzt wurde, die ihre Angriffe auf Cloud-Infrastrukturen, Container und Linux-Umgebungen konzentrierten).

Große Netzwerke kompromittierter Systeme, die Kryptowährungen schürfen, können Cyberkriminellen daher einen stetigen Einkommensstrom bescheren – ein Grund, warum diese Technik zu einer so beliebten Form von Malware geworden ist. Der RAT wird zusammen mit dem XMRig-Miner heruntergeladen, der zum Schürfen von Kryptowährungen verwendet wird, sowie mit einem Shell-Skript, das dazu dient, alle anderen konkurrierenden Miner zu entfernen, die zuvor auf dem System installiert waren.

Chaos RAT verfügt über mehrere leistungsstarke Funktionen, darunter die Möglichkeit, Dateien herunterzuladen, hochzuladen und zu löschen, Screenshots zu erstellen, auf den Datei-Explorer zuzugreifen und URLs zu öffnen.

Der Trojaner scheint auch dazu verwendet zu werden, eine Verbindung zu einem Command-and-Control-Server herzustellen, der für die Bereitstellung weiterer bösartiger Nutzdaten genutzt werden könnte. Es besteht die Möglichkeit, dass die Angreifer die Macht der Trojaner-Malware nutzen, um schädlichere Cyberangriffe durchzuführen – zum Beispiel, um mithilfe von Chaos Benutzernamen und Kennwörter oder Online-Bankdaten zu stehlen.

„Oberflächlich betrachtet mag die Einbindung eines RAT in die Infektionsroutine einer Cryptocurrency-Mining-Malware relativ unbedeutend erscheinen“, schreiben die Trend Micro Forscher David Fiser und Alfredo Oliveira in ihrem Blogbeitrag.

„In Anbetracht der Funktionsvielfalt des Tools und der Tatsache, dass diese Entwicklung zeigt, dass Cloud-basierte Bedrohungsakteure ihre Kampagnen immer noch weiterentwickeln, ist es wichtig, dass sowohl Unternehmen als auch Einzelpersonen in puncto Sicherheit besonders wachsam bleiben“, fügen sie hinzu.

Um Netzwerke und Cloud-Dienste vor Cryptomining-Malware und anderen Cyberangriffen zu schützen, wird empfohlen, dass Unternehmen gängige Best Practices im Bereich der Cybersicherheit anwenden, einschließlich rechtzeitiger Patches und Aktualisierungen von Software und Anwendungen, um die Gefahr der Ausnutzung von Schwachstellen in veralteten Versionen zu verringern.

Unternehmen könnten auch den Einsatz von Tools in Erwägung ziehen, die den Netzwerkverkehr zu und von bösartigen Hosts einschränken und filtern können, z. B. Firewalls und Systeme zur Erkennung und Verhinderung von Eindringlingen.