Kryptomining-Malware nutzt Bilder von Taylor Swift als Köder

Forscher haben einen neuen Bericht über ein neues Krypto-Mining-Botnet veröffentlicht, welches scheinbar harmlose Inhalten wie JPEG-Bilder von Taylor Swift als Köder nutzt.

Das MyKings genannte Botnet (alternativ auch DarkCloud oder Smominru) ist bereits seit 2016 aktiv, so eine Pressemitteilung von Gabor Szappanos aus den SophosLabs vom 18. Dezember.

Die Akteure hinter MyKings sollen die Malware um Bootkit-Funktionalität erweitert haben, was sie schwieriger erkennbar und zu entfernen macht.

MyKings hat bereits 3 Mio. US-Dollar eingebracht

Der Bericht von SophosLabs bietet einen umfassenden Überblick über den Betrieb des Botnets, das Szappanos als "unerbittlich redundanten [d.h. sich wiederholenden] Angreifer" charakterisiert. Es greife hauptsächlich Windows-basierte Dienste an ,auf denen Datenbankmanagementsysteme wie MqSQL und MS-SQL, Netzwerkprotokolle wie Telnet oder sogar Server für Überwachungskameras installiert sind.

Wie der Bericht feststellt, verwenden die Schöpfer des Botnets offenbar bevorzugt Open-Source- oder andere Public-Domain-Software und verfügen über hohe Kompetenz bei der Anpassung und Verbesserung des Quellcodes. Dadurch können individuelle Komponenten zur Ausführung von Angriffen und zur Durchführung automatisierter Aktualisierungsprozesse integriert werden.

Das Botnet führt eine Reihe von Angriffen auf einen Server durch, um eine ausführbare Malware, häufig einen Trojaner mit dem Namen "Forshare", zu installieren, welcher sich als die häufigste Nutzlast auf infizierten Servern erwiesen hat.

Forshare wird zum Betrieb verschiedener Monero (XMR) Kryptominer auf der Zielhardware eingesetzt. Nach Schätzungen von SophosLabs haben die Botnetzbetreiber dadurch bisher rund 3 Millionen US-Dollar an Monero verdient. Dies entspricht aufgrund der zuletzt niedrigeren relativen Bewertung der Kryptowährung einem aktuellen Einkommen von ca. 300 US-Dollar pro Tag.

Gute Tarnung

Quelle: SophosLabs Uncut Report

In einem von SophosLabs untersuchten Beispiel wurde ein unmerklich verändertes Bild des Popstars Taylor Swift als .jpg-Foto zusammen mit einer versteckten ausführbaren Datei in ein öffentliches Repositorium hochgeladen, die das Botnet beim Download automatisch aktualisiert.

Die Untersuchungen von SophosLabs zeigen, wie ausgeklügelt der Persistenzmechanismus von MyKings ist, der sich durch aggressive Wiederholungs- und Selbst-Aktualisierungsverfahren mit mehreren Befehlskombinationen fortsetzt.

"Selbst wenn die meisten Komponenten des Botnets vom Computer entfernt werden, können die übrigen Bestandteile die volle Stärke des Botnets durch eine einfache Aktualisierung wiederherstellen. All dies wird mit Hilfe von selbstentpackenden RAR-Archiven und Windows-Batch-Dateien orchestriert."

Laut dem Bericht sind die Länder mit der höchsten Anzahl infizierter Wirte derzeit China, Taiwan, Russland, Brasilien, die Vereinigten Staaten, Indien und Japan.

Monero und Kriminalität

Wie Cointelegraph im November berichtete, war die auf der offiziellen Website von Monero Download angebotene Software für kurze Zeit kompromittiert worden, um damit Kryptogeld aus Benutzer-Wallets zu stehlen.

Im selben Monat enthüllte die slowakische Software-Sicherheitsfirma Eset, dass Cyberkriminelle, YouTube zur Verbreitung eines Monero-Miners über ein Botnet namens Stantinko genutzt haben.