2018-01-24 17:34:44

Palo Alto Networks meldet groß angelegte Monero-Mining-Operation mittels XMRig

Unit 42, das Malware-Forschungsteam von Palo Alto Networks, gibt aktuelle Erkenntnisse zu einer groß angelegten Mining-Operation bekannt, die auf die Kryptowährung Monero abzielt. Bei dieser Operation versuchen Kriminelle, Mining der Monero-Kryptowährung mithilfe des Open-Source-Dienstprogramms XMRig zu betreiben.

Mathias Hein

Basierend auf öffentlich zugänglichen Telemetriedaten von Bitly konnten die Forscher abschätzen, dass ungefähr 15 Millionen Menschen weltweit von dieser Operation betroffen sind. Die tatsächliche Anzahl an Opfern dürfte viel höher sein, da weniger als die Hälfte der Samples, die in dieser Kampagne identifiziert wurden, Bitly nutzen. So könnten rund um den Globus sogar 30 Millionen Menschen betroffen sein. 

Die Angreifer verwenden häufig VBS-Dateien (Visual Basic Script) und verschiedene Online-URL-Verkürzungsdienste, um den XMRig-Code zu installieren und auszuführen. Darüber hinaus maskieren die Angreifer die verwendeten Wallets, indem sie die XMRig-Proxy-Dienste auf den Hosts nutzen, mit denen sie verbunden sind.

Interessant ist in diesem Fall, wie solch eine groß angelegte Kampagne für einen so langen Zeitraum relativ unbemerkt bleiben konnte. Dass die Angreifer sich in so großem Umfang auf den Opfersystemen einnisten konnten, hat Unit 42 zufolge verschiedene Gründe: Die Cyberkriminellen greifen mittels Werbung auf zufällige Endbenutzer zu und verwenden unverdächtige Namen für die Malware-Dateien. Sie nutzen sowohl die integrierten Windows-Dienstprogramme als auch Skriptdateien. 

Die Forscher beobachteten zudem, dass die Angreifer im Laufe der Zeit iterative Aktualisierungen ihres Malware-Toolsets vorgenommen und ihre Taktiken jeden Monat geändert haben. Derzeit gibt es nur marginale Hinweise darauf, dass sich die Angreifer aufgrund der beobachteten Sprachen in Osteuropa befinden könnten.

Druckversion