Schadsoftware: Mit der Internetverbindung anderer Geld verdienen

Schon lange gibt es Schadsoftware, die die Rechenleistung von infizierten Geräten nutzt, um ohne das Wissen der Betroffenen Coins zu schürfen. Sicherheitsforscher von Cisco Talos berichten nun von neuen Malware-Kampagnen, die nicht über Kryptowährungen Einkommen für die Kriminellen generieren, sondern die Internetverbindung fremder Rechner nutzen und teilen. Dafür setzen sie eigentlich legitime Software ein - zumindest, wenn sie freiwillig installiert wurde.

Mit sogenannter Proxyware können Nutzer anderen einen Teil ihrer Bandbreite zur Verfügung stellen und bekommen dafür Geld. Sie wird beispielsweise damit beworben, passives Einkommen ohne Aufwand generieren zu können. Die Software "Honeygain" gehört dabei laut den Sicherheitsforschern zu den beliebtesten Anwendungen. Sie beobachteten zum einen infizierte Installer für Honeygain, die zwar legitim wirkten, aber nicht aus der Originalquelle stammten und zusätzlich Schadsoftware wie Krypto-Miner auf den Rechnern installierten. Zum anderen fanden sie Schadsoftware, die versucht, Honeygain ohne das Wissen des Betroffenen auf einem Rechner zu platzieren und mit dem Account des Angreifers zu registrieren - sodass dieser das Geld abgreifen kann.

Risiko für Unternehmen

Doch es müssen nicht nur Unbekannte sein, die mit der Internetverbindung anderer Geld machen. Die Forscher haben sich in Proxyware-Reddit-Kanälen umgesehen, wo Nutzer berichten, dass sie die Software auf Rechnern ihrer Verwandten, Freunde und an ihren Arbeitsplätzen installierten, um dazuzuverdienen. Cisco Talos warnt vor den möglichen Konsequenzen vor allem für Unternehmen: "Diese Anwendungen bauen einen getunnelten Kommunikationsweg zwischen einer externen Stelle und einem Endpunkt in einem internen Netzwerksegment auf", schreiben die Forscher. Das könnte eventuell dazu führen, dass Sicherheitsmechanismen ausgehebelt werden und die Netzwerke angreifbar werden.

Falls die geteilte Internetverbindung für fragwürdige Aktivitäten genutzt werde, könne das auch dazu führen, dass Unternehmen auf Blocklisten landen - ohne zu wissen, weshalb. "Einige Nutzer oder Organisationen könnten sogar in Strafermittlungen verwickelt werden, wenn ihre Infrastruktur für unerlaubte oder illegale Zwecke genutzt wird."

Cisco Talos empfiehlt, dass Unternehmen Proxyware als unerwünschte Anwendung behandeln sollten. Wenn derartige Software auf Unternehmensrechnern gefunden wird, sollten sie untersuchen, ob die Proxyware im Zuge einer Schadsoftware-Infektion aufgetaucht ist oder ob etwa Angestellte sie installiert hätten. "Diese relativ neuen Plattformen wurden zu einem legitimen Zweck gebaut, aber Angreifer fanden schnell Wege, sie zu missbrauchen", so Cisco Talos.