Abo
  • Services:
Anzeige
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürft

Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Mit Krypto-Mining lässt sich viel Geld verdienen - vor allem, wenn man fremde Computer für sich schürfen lässt. Eine Malware, die das ermöglicht, hat das Projekt Internetwache.org aufgespürt und analysiert. So harmlos die Software aussieht, so gefährlich ist sie.
Eine Analyse von Tim Philipp Schäfers und Sebastian Neef

Cyberkriminelle haben eine Malware programmiert, mit der sie auf fremden Geräten Krypto-Mining betreiben. Der autonome Wurm verbreitet sich über verschiedene Wege und nutzt als Wirtssystem auch industrielle Kontrollsysteme. Eine Analyse von Internetwache.org zeigt, wie die Malware arbeitet, was sich damit vermutlich verdienen lässt und warum das Vorgehen erhebliche Gefahren mit sich bringt.

Anzeige

Auf den ersten Blick sieht die Datei, hinter der sich die gefährliche Krypto-Mining-Schadsoftware verbirgt, harmlos aus, beinahe wie ein normaler Ordner unter Windows. Das einzige, was Benutzer, die die Anzeige von Dateierweiterungen eingeschaltet haben, wundern sollte, ist, dass es sich um eine SCR-Datei (Bildschirmschoner) handelt. Diese trägt meist den Namen "photo.scr" und findet sich auf zahlreichen FTP-Servern im Internet. Die Server haben einen Anonymous-Zugriff konfiguriert und lassen Schreibrechte zu.

  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)


Zuletzt ist die Malware zunehmend auf eigentlich geschützte Systeme geraten, darunter beispielsweise auf eine USV (unterbrechungsfreie Stromversorgung) aus dem technischen Netzwerk von Cisco oder Gebäudesteuerungen in Deutschland. Wie sie sich ihren Weg dahin bahnt und warum das äußerst gefährlich werden kann, soll dieser Artikel erläutern.

Die Datei enthält, anders als der Name vermuten lässt, kein Foto und ist auch kein Ordner (Icon). Offenbar scheint die Neugier bei vielen Nutzern gegenüber der Vorsicht aber zu überwiegen, und sie führen die Schadsoftware trotzdem aus. Statt ein Foto oder deinen Bildschirmschoner zu öffnen, nimmt in dem Fall allerdings ein sich selbst entpackendes Archiv die Arbeit auf. Unter den entpackten Dateien befinden sich ein Krypto-Mining-Tool (für 32-Bit und 64-Bit-Rechner) und ein Programm zum Verbinden auf FTP-Server. Außerdem werden Registry-Einträge verändert, geplante Tasks angelegt und Starteinträge verändert. Danach passiert erstaunlicherweise erst einmal ... nichts.

Für ein Antivirensystem ist es schwer, an dieser Stelle durch heuristische Methoden zu ermitteln, ob das entsprechende Verhalten gewollt ist oder nicht - es sich also um Schadsoftware oder gewollte Programme handelt. Schließlich wird das Programm durch den Nutzer bewusst ausgeführt. So haben etwa die Hersteller einer Software der Computerspiele-Community E-Sports Entertainment Association (ESEA) League eine gewisse Zeit eine Funktion zum Krypto-Mining in ihrer Software versteckt. Als das aufflog, mussten sie einem Vergleich in Höhe von einer Million US-Dollar zustimmen, um eine Anklage zu vermeiden.

Schadsoftware erwacht nach fünf Wochen 

eye home zur Startseite
Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Robert Bosch GmbH, Leonberg
  3. AVM Computersysteme Vertriebs GmbH, Berlin
  4. kubus IT GbR, Dresden


Anzeige
Hardware-Angebote
  1. 819,00€
  2. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Cyberangriff auf Bundestag

    BSI beschwichtigt und warnt vor schädlichen Werbebannern

  2. Equal Rating Innovation Challenge

    Mozilla will indische Dörfer ins Netz holen

  3. Firmenstrategie

    Intel ernennt Strategiechefin und gründet AI-Gruppe

  4. APFS unter iOS 10.3 im Test

    Schneller suchen und ein bisschen schneller booten

  5. Starship Technologies

    Domino's liefert in Hamburg Pizza per Roboter aus

  6. Telekom Stream On

    Gratis-Flatrate für Musik- und Videostreaming geplant

  7. Nachhaltiglkeit

    Industrie 4.0 ist bisher kein Fortschritt

  8. Firaxis Games

    Civilization 6 kämpft mit Update schlauer

  9. Microsoft Office

    Excel-Dokumente gemeinsam bearbeiten und autospeichern

  10. Grafikkarte

    AMDs Radeon RX 580 nutzt einen 8-Pol-Stromanschluss



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Android O im Test: Oreo, Ovomaltine, Orange
Android O im Test
Oreo, Ovomaltine, Orange
  1. Android O Alte Crypto raus und neuer Datenschutz rein
  2. Developer Preview Google veröffentlicht erste Vorschau von Android O
  3. Android O Google will Android intelligenter machen

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. iPhone Apple soll A11-Chip in 10-nm-Verfahren produzieren
  2. WatchOS 3.2 und TVOS 10.2 Apple Watch mit Kinomodus und Apple TV mit fixem Scrollen
  3. Patentantrag Apple will iPhone ins Macbook stecken

Lithium-Akkus: Durchbruch verzweifelt gesucht
Lithium-Akkus
Durchbruch verzweifelt gesucht
  1. Super MCharge Smartphone-Akku in 20 Minuten voll geladen
  2. Brandgefahr HP ruft über 100.000 Notebook-Akkus zurück
  3. Brandgefahr Akku mit eingebautem Feuerlöscher

  1. Re: Der Totale Witz

    laserbeamer | 14:27

  2. Re: Was'n das? Android oder Windows

    Rayman6 | 14:26

  3. Re: Wer?

    Spaghetticode | 14:25

  4. Re: Ideal die Streamingdienste nutzen?!

    PiranhA | 14:25

  5. Re: Was zu erwarten war...

    Kondratieff | 14:25


  1. 13:59

  2. 12:45

  3. 12:30

  4. 12:09

  5. 12:04

  6. 11:56

  7. 11:46

  8. 11:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel