• IT-Karriere:
  • Services:

Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürft

Mit Krypto-Mining lässt sich viel Geld verdienen - vor allem, wenn man fremde Computer für sich schürfen lässt. Eine Malware, die das ermöglicht, hat das Projekt Internetwache.org aufgespürt und analysiert. So harmlos die Software aussieht, so gefährlich ist sie.

Eine Analyse von Tim Philipp Schäfers und Sebastian Neef veröffentlicht am
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Cyberkriminelle haben eine Malware programmiert, mit der sie auf fremden Geräten Krypto-Mining betreiben. Der autonome Wurm verbreitet sich über verschiedene Wege und nutzt als Wirtssystem auch industrielle Kontrollsysteme. Eine Analyse von Internetwache.org zeigt, wie die Malware arbeitet, was sich damit vermutlich verdienen lässt und warum das Vorgehen erhebliche Gefahren mit sich bringt.

Auf den ersten Blick sieht die Datei, hinter der sich die gefährliche Krypto-Mining-Schadsoftware verbirgt, harmlos aus, beinahe wie ein normaler Ordner unter Windows. Das einzige, was Benutzer, die die Anzeige von Dateierweiterungen eingeschaltet haben, wundern sollte, ist, dass es sich um eine SCR-Datei (Bildschirmschoner) handelt. Diese trägt meist den Namen "photo.scr" und findet sich auf zahlreichen FTP-Servern im Internet. Die Server haben einen Anonymous-Zugriff konfiguriert und lassen Schreibrechte zu.

  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)


Zuletzt ist die Malware zunehmend auf eigentlich geschützte Systeme geraten, darunter beispielsweise auf eine USV (unterbrechungsfreie Stromversorgung) aus dem technischen Netzwerk von Cisco oder Gebäudesteuerungen in Deutschland. Wie sie sich ihren Weg dahin bahnt und warum das äußerst gefährlich werden kann, soll dieser Artikel erläutern.

Die Datei enthält, anders als der Name vermuten lässt, kein Foto und ist auch kein Ordner (Icon). Offenbar scheint die Neugier bei vielen Nutzern gegenüber der Vorsicht aber zu überwiegen, und sie führen die Schadsoftware trotzdem aus. Statt ein Foto oder deinen Bildschirmschoner zu öffnen, nimmt in dem Fall allerdings ein sich selbst entpackendes Archiv die Arbeit auf. Unter den entpackten Dateien befinden sich ein Krypto-Mining-Tool (für 32-Bit und 64-Bit-Rechner) und ein Programm zum Verbinden auf FTP-Server. Außerdem werden Registry-Einträge verändert, geplante Tasks angelegt und Starteinträge verändert. Danach passiert erstaunlicherweise erst einmal ... nichts.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Mainz
  2. Dataport, verschiedene Standorte

Für ein Antivirensystem ist es schwer, an dieser Stelle durch heuristische Methoden zu ermitteln, ob das entsprechende Verhalten gewollt ist oder nicht - es sich also um Schadsoftware oder gewollte Programme handelt. Schließlich wird das Programm durch den Nutzer bewusst ausgeführt. So haben etwa die Hersteller einer Software der Computerspiele-Community E-Sports Entertainment Association (ESEA) League eine gewisse Zeit eine Funktion zum Krypto-Mining in ihrer Software versteckt. Als das aufflog, mussten sie einem Vergleich in Höhe von einer Million US-Dollar zustimmen, um eine Anklage zu vermeiden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Schadsoftware erwacht nach fünf Wochen 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Spiele-Angebote
  1. 39,99€
  2. 9,99€
  3. 59,99€ (USK 18)

Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...


Folgen Sie uns
       


Ausblendbare Kamera von Oneplus - Hands on (CES 2020)

Das Concept One ist das erste Konzept-Smartphone von Oneplus - und dient dazu, die ausblendbare Kamera zu demonstrieren.

Ausblendbare Kamera von Oneplus - Hands on (CES 2020) Video aufrufen
Alternatives Android im Test: /e/ will Google ersetzen
Alternatives Android im Test
/e/ will Google ersetzen

Wie Google, nur mit Privatsphäre - /e/ verbindet ein alternatives Android mit Cloudfunktionen und einer Suchmaschine.
Ein Test von Moritz Tremmel


    Buglas: Corona-Pandemie zeigt Notwendigkeit der Glasfaser
    Buglas
    Corona-Pandemie zeigt Notwendigkeit der Glasfaser

    Mehr Datenupload und Zunahme der Sprachtelefonie bringe die Netze unter Druck. FTTB/H-Betreiber bleiben gelassen.
    Eine Exklusivmeldung von Achim Sawall

    1. Coronavirus Funktion zur Netflix-Drosselung war längst geplant
    2. Coronakrise China will Elektroautoquote vorübergehend lockern
    3. Corona-Krise Palantir könnte Pandemie-Daten in Europa auswerten

    Star Trek - Der Film: Immer Ärger mit Roddenberry
    Star Trek - Der Film
    Immer Ärger mit Roddenberry

    Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
    Von Peter Osteried

    1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
    2. Star Trek - Picard Hasenpizza mit Jean-Luc
    3. Star Trek Voyager Starke Frauen und schwache Gegner

      •  /