Sie haben Fragen?

info@8com.de
+49 6321 48446-0

Neuer Wurm schürft Kryptowährung Monero

06. Januar 2021

Der Bitcoin eilt aktuell von einem Rekord zum nächsten und in diesem Zuge gewinnen auch andere Kryptowährungen an Popularität. Doch das private „Schürfen“, wie die Gewinnung der digitalen Währungen mittels Rechenleistung genannt wird, bindet Kapazitäten und wird immer kostspieliger. Findige Kriminelle haben sich deswegen eine andere Strategie zurechtgelegt und zwingen unter Einsatz von Malware fremde Computersysteme dazu, diese Tätigkeit für sie auszuführen. Das Vorgehen ist an sich nicht neu, allerdings taucht immer wieder neue Schadsoftware dieser Art auf, wie nun ein Wurm zeigt, der in der Programmiersprache Golang geschrieben wurde und sowohl Windows- als auch LINUX-Systeme ins Visier nimmt.‍

Sicherheitsforscher vom Software-Unternehmen Intezer haben kürzlich ihre Erkenntnisse zu dem neuen Golang-basierten Wurm veröffentlicht. Dessen Hauptziel ist es, die Malware XMRig Miner in den befallenen Systemen zu platzieren, die dann für den eigentlichen Vorgang des Schürfens zuständig ist. Um eine möglichst umfassende Infektion der Systeme zu gewährleisten, breitet sich der Wurm über alle nach außen zugänglichen Schnittstellen aus. Das gilt insbesondere für Geräte mit schwachen Passwörtern wie MySQL, das Tomcat Admin Panel und Jenkins. Eine ältere Version der Malware konnte außerdem eine Sicherheitslücke in Oracle WebLogic ausnutzen. ‍

Beim Angriff selbst kommen drei Komponenten zum Einsatz: ein Dropper-Skript, das die anderen Bestandteile freisetzt, der Wurm in der Programmiersprache Golang, der die weitere Verbreitung sicherstellt und der XMRig Miner, der dann beginnt, Monero zu schürfen. Dabei werden alle drei Komponenten auf dem gleichen Command-and-Control-Server gehostet. Interessant dabei ist, dass die Malware bei einer Infektion zuerst überprüft, ob bei dem entsprechenden Gerät der Port 52013 offen ist und sich sofort selbst löscht, falls das der Fall ist. Ist der Port geschlossen, öffnet der Schädling darauf sein Network Socket und die Infektion schreitet weiter voran, der Wurm wird freigelassen und die Mining-Software beginnt mit der Arbeit. ‍

Gefährlich an dem neuen Wurm ist vor allem die Tatsache, dass bei VirusTotal zum Zeitpunkt der Untersuchung noch kein Fall registriert worden war. Das bedeutet, dass gängige Antiviren-Programme noch keinen Schutz vor der neuen Bedrohung bieten. Die Sicherheitsexperten von Intezer raten Nutzern daher, ihre Passwortsicherheit zu erhöhen und Mehr-Faktor-Authentifizierung zu nutzen. Darüber hinaus sollten die erlaubten Log-in-Versuche begrenzt und die Anzahl der von außerhalb zugänglichen Dienste auf ein Minimum reduziert werden. Software-Updates und eine sinnvolle Absicherung der Cloud-Dienste sollten ohnehin zum Standard gehören.‍‍

Bild (c) Christopher Muschitz / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews