Krypto-Mining: Malware KryptoCibule bestiehlt Opfer
Forschern aus dem Hause ESET ist es gelungen, eine bislang nicht dokumentierte Malware-Familie ausfindig zu machen, die den Namen KryptoCibule bekam. Der Trojaner verbreitet sich über bösartige Torrents und setzt auf verschiedenartige Methoden, um nicht entdeckt zu werden und möglichst viele Kryptocoins von den Opfern zu stehlen.
Krypto-Mining: Das Konzept
Es gibt im World Wide Web verschiedene Kryptowährungen: Bitcoins sind die wohl verbreitetsten, es existieren aber auch Monero oder Ethereum. Der Begriff „Mining“ kommt ursprünglich aus dem Bergbau und beschreibt das Schürfen, sodass es zum Namensgeber wurde.
Das Krypto-Mining nun können Sie sich als Prozess vorstellen, bei dem die Leistung der CPU oder GPU genutzt wird, um Kryptowährungen zu „schürfen“. Man stellt die Rechenleistung zum Verarbeiten von Transaktionen, zum Absichern und Synchronisieren aller bestehenden Nutzer im jeweiligen Netzwerk zur Verfügung – eine Art dezentrales Kryptowährungs-Rechenzentrum, an dem sich Miner aus der ganzen Welt beteiligen. Für diese nützlichen Dienste gibt es Belohnungen, wobei sich die Auszahlung der jeweiligen Kryptowährungsanteile danach richtet, wie viel Rechenkapazität zur Verfügung gestellt wird.
Anders als bei konventionellen Währungen wie dem Euro oder dem US-Dollar wird bei Kryptowährungen also kein Geld gedruckt; Kryptowährungen werden vielmehr selbst oder auch in der Cloud („Cloud Mining“) geschürft. Dafür lassen sich speziell konstruierte Geräte, z. B. von Bitmain oder auch Antminer, verwenden.
KryptoCibule: Neu und doch schon alt
Die ESET-Forscher haben verschiedene Versionen der Malware KryptoCibule entdeckt. Diese Entwicklung ließ sich bis Dezember 2018 zurückverfolgen – KryptoCibule ist also schon eine Zeitlang aktiv. Die Malware zielt hauptsächlich auf Nutzer*innen der Tschechischen Republik und der Slowakei ab und wird über infizierte Torrents verteilt. Die Forscher fanden fast alle bösartigen Torrents auf der Site uloz.to; einer in Tschechien und der Slowakei sehr beliebten Filesharing-Site. Hier wird die Malware als infizierte ZIP-Datei heruntergeladen.
Oft tarnt sich KryptoCibule als Installationsprogramm, entweder für raubkopierte oder geknackte Games oder Software. Neben der Verbreitung der Malware KryptoCibule werden auch zusätzliche Tools sowie Updates heruntergeladen. Die Forscher machten fünf Dateien aus, die allen KryptoCibule-Installationsarchiven gemein waren. Hinter packed.001 verbirgt sich die Malware, packed.002 enthält die Installationsdatei für die heruntergeladene Software. Beide Dateien werden dekodiert, sobald Setup.exe durch den Nutzenden ausgeführt wird.
Die Malware startet sodann im Hintergrund, während das Installationsprogramm sichtbar fürs Opfer im Vordergrund gestartet wird. Einen Hinweis darauf, dass womöglich etwas nicht stimmt, erhält der Nutzende nicht. Die Opferrechner können anschließend zum Seeding der Malware zur Verbreitung beitragen. Weiter wird das BitTorrent-Protokoll auch zum Download von Malware-Updates sowie zusätzlicher Software genutzt.
Antiviren-Programme werden umgangen
KryptoCibule sucht speziell nach Sicherheitsprodukten von ESET, Avast oder AVG: ESET hat seinen Hauptsitz in der Slowakei, während Avast und AVG in Tschechien sitzen. Mit einer Vielzahl von Techniken gelingt es der Malware, ihre Erkennung durch Sicherheitsprodukte zu verhindern:
- Bei der Installation tarnt sich die Malware als legitimer InstallShield.
- Die Installation erfolgt meist in bereits vorhandenen bzw. eigentlich legitimen Ordnern.
- Bevor die Malware startet, findet ein Scan nach Antiviren-Programmen statt.
- Per Shell können Pfade aus Windows Defender ausgeschlossen werden. Die Malware macht dies, sodass infizierte Pfade nicht mehr gescannt werden.
- Weiter werden Firewall-Ausnahmen erstellt, sodass auch die Firewall der Malware nicht auf die Spur kommen kann.
Komponenten von KryptoCibule
Wie die ESET-Forscher aufzeigen, besteht KryptoCibule aus drei Komponenten:
Krypto-Mining
Aktuelle KryptoCibule-Varianten nutzen mit XMRig ein Open-Source-Tool, welches mit der CPU Monero abbaut. Einsatz findet auch das Open-Source-Programm kawpowminer: Damit wird Ethereum mithilfe der GPU erzeugt. Das zweite Programm nutzt KryptoCibule nur, wenn auf dem infizierten Host eine dedizierte Grafikkarte gefunden werden kann. Beide Tools stellen per Tor-Proxy eine Verbindung zu den Mining-Servern der für KryptoCibule Verantwortlichen her.
Gekaperte Zwischenablage
Die zweite Komponente, aus der KryptoCibule besteht, tarnt sich als SystemArchitectureTranslation.exe. Mit der AddClipboardFormatListener-Funktion können Änderungen in der Zwischenablage überwacht werden; weiter können Ersetzungsregeln auf Inhalte angewandt werden. In Übereinstimmung mit dem Format der Kypto-Wallet-Adressen werden bestehende Adressen mit den Wallets der Malware-Betreiber ersetzt. Tätigt das Opfer Transaktionen, sollen diese somit in die Wallets der Malware-Betreiber wandern. Wird die Datei settings.cfg geändert, sorgt ein FileSystemWatcher fürs Neuladen der Ersetzungsregeln.
Dateiexfiltrierung
Die dritte Komponente von KryptoCibule hat die Aufgabe, das Dateisystem nach Dateinamen zu durchsuchen, die bestimmte Begriffe enthalten, beispielsweise „wallat.dat“. In aller Regel beziehen sich diese Begriffe also auf Kryptowährungen oder Miner, jedoch werden auch allgemeinere Begriffe wie etwa „crypto“, „password“ oder „seed“ gesucht. Die ESET-Forscher fanden darüber hinaus auch einige Begriffe, die andere interessante Daten enthalten können, etwa „desktop“, „private“ oder auch „.ssh“. Diese dritte Komponente sammelt die vollständigen Pfade aller übereinstimmenden Dateien, um die Liste dann an %C&C%/found/ zu senden.
Die ESET-Forscher vermuten, „dass dies im Zusammenspiel mit dem SFTP-Server geschieht, der als Onion-Dienst auf Port 9187 ausgeführt wird. Dieser Server erstellt Zuordnungen für jedes verfügbare Laufwerk und stellt sie mithilfe der in der Malware fest codierten Anmeldeinformationen zur Verfügung. Die gesammelten Pfade können somit zur Datei-Exfiltrierung verwendet werden. Dazu müssen sie von einem vom Angreifer kontrollierten Computer über SFTP vom infizierten Host angefordert werden.“
Weiter installiert KryptoCibule einen legitimen Apache-httpd-Server. Aufgrund seiner Konfiguration kann dieser einschränkungslos als Forward-Proxy eingesetzt werden und als Onion-Dienst via Port 9999 erreichbar sein.
KryptoCibule: So schützen Sie sich
Torrent-Dateien, wie die Malware KryptoCibule kommen vorrangig auf Filesharing-Plattformen zum Einsatz – aber nicht nur! Es heißt also nicht, dass Sie nicht in Gefahr sind, nur weil Sie Online-Tauschbörsen bislang nicht genutzt haben. Die Risiken, die beim Download von Torrent-Dateien entstehen, sind vielen Nutzer*innen nicht bewusst.
Deshalb gilt auch dann, wenn Sie keine Filesharing-Plattformen aufsuchen: Seien Sie wachsam! Nach wie vor ist der beste Malware-Schutz die Prävention:
- Halten Sie Ihren Virenschutz stets aktuell!
- Laden Sie Dateien ausschließlich von bekannten und sicheren Servern herunter!
- Prüfen Sie Downloads vor dem Ausführen oder Entpacken auf Viren und andere Malware!
- Führen Sie regelmäßige Scans durch – idealerweise automatisiert, sodass Sie nichts vergessen können!
Investieren Sie nicht nur in gute Firewalls und Sicherheitssoftware, sondern sorgen Sie auch für die Sensibilisierung Ihrer Mitarbeiter*innen und tragen Sie Sorge dafür, dass Ihre Systeme immer auf dem neusten Stand sind.
Schreibe einen Kommentar