Krypto-Mining-Trojaner So lassen Cyberkriminelle ihre Opfer für sich arbeiten

Dank des kometenhaften Aufstiegs (und zwischenzeitlichen Falls) des Bitcoin sind Kryptowährungen sehr beliebt. Aber wo große Gewinne locken, sind Cyberkriminelle nicht weit. Der weiterhin hohe Wert von Kryptowährungen und unvorsichtige Nutzer machen deshalb Krypto-Mining-Trojaner zum lohnenden Geschäft für Kriminelle.

Anbieter zum Thema

Fujitsu Technology Solutions GmbH

FTAPI Software GmbH

Doctor Web Deutschland GmbH

Um zu verstehen, wie Kriminelle den Boom der digitalen Währungen für sich nutzen, muss man zunächst die grundlegende Funktionsweise des virtuellen Geldes verstehen. Bitcoins basieren wie andere Blockchain-basierte Zahlungssysteme auf einem dezentralen Rechnernetz, mit dessen Hilfe alle Transaktionen der virtuellen Währung erfasst und geprüft werden. Es handelt sich vereinfacht gesagt um ein virtuelles Buchführungssystem, das den Verbleib jeder virtuellen Geldeinheit vermerkt. Digitale Signaturen und Prüfsummen stellen dabei sicher, dass keine Geldeinheit doppelt „ausgegeben“ wird und Transaktionen korrekt erfasst werden.

Das Berechnen dieser Prüfsummen erfordert hohe Rechenkapazitäten, die jeder über das entsprechende Netz zur Verfügung stellen kann. Als Belohnung für die Bereitstellung der Rechenleistung erhält der Teilnehmer eine festgelegte Summe an Bitcoins sowie die Transaktionsgebühr, die mit der zur Verfügung gestellten Berechnung geprüft und bestätigt wurde. Dieser Vorgang wird Mining genannt und sorgt dafür, dass jedes Mal ein kleiner Teil der virtuellen Währung auf das digitale Konto des Nutzers fließt.

Mining-Malware ist ein lohnendes Geschäft

Cyberkriminelle haben diesen lukrativen Bereich längst erkannt und nutzen unbemerkt die Rechenkapazität von Anwendern auf der ganzen Welt, um die notwendigen Berechnungen durchzuführen. Die Belohnung hierfür fließt jedoch nicht auf das Konto des jeweiligen Anwenders, sondern direkt in die Taschen der Kriminellen. Ein lohnendes Geschäft, da das Opfer in der Regel nicht einmal bemerkt, dass die eigene Rechenleistung für das Mining Anderer missbraucht wird.

Heute lässt sich durch die zunehmende Komplexität der Berechnungen nicht viel Krypto-Geld verdienen – erst recht nicht, wenn der Mining-Trojaner nicht die kompletten Rechenkapazitäten eines PCs nutzen kann. Deshalb arbeiten die Trojaner in Botnets. Das sind Netzwerke von infizierten PCs. Weil jedoch die Anzahl von infizierten PCs für das Mining besonders hoch sein muss, lassen sich Mining-Trojaner auch schnell identifizieren und bekämpfen. Die Urheber dieser Malware versuchen daher, diesem Problem zu begegnen, indem sie das heruntergeladene Malware-Modul fortlaufend aktualisieren, damit nur ältere Versionen der Virendatenbanken von Virenschutzsoftware erkannt werden können.

Fortschrittlichere Mining-Schädlinge wenden darüber hinaus spezielle Methoden an, um sich zu tarnen. Zur einfachsten Methode gehören das Verpacken und Verschlüssen. Der für ein Virenschutzprogramm bekannte Schädling wird so verpackt, dass seine Merkmale von einem Virenschutzprogramm nicht mehr erkannt werden können. Eine weitere Methode ist Social Engineering: Mining-Malware kann zusammen mit verschiedenen Apps als zusätzliche Software verbreitet werden. Die Angreifer spekulieren darauf, dass der Anwender den Schadcode aktiv herunterlädt oder der Nutzung durch ein Häkchen im Installationsassistent zustimmt. Ein weiterer Weg, Schutztools (aber nicht das Antivirenprogramm) zu umgehen, ist das Signieren einer Applikation. Die Endgeräte gehen dann davon aus, dass die Datei vertrauenswürdig ist. Ein Beispiel ist Trojan.BtcMine.218.

Wie verbreitet sich Mining-Malware?

Zahlreiche Schadprogramme sind mittlerweile im Umlauf. Aktuell gehören Mining-Trojaner zu der am meisten verbreiteten Malware. Bei Mining-Trojanern handelt es sich im Gegensatz zu Viren oder Würmern um Schädlinge, die sich nicht selbst verbreiten können. Um sich ins Betriebssystem eines Rechners einzuschleusen und ausgeführt zu werden, sind sie auf die Hilfe der Anwender angewiesen. Häufig tarnen sich die Schadprogramme daher als nützliche App: Einige verstecken sich hinter vermeintlichen Cheat-Codes oder Lizenzschlüsseln, die der Nutzer unbedacht herunterlädt. Der bereits erwähnte Trojan.BtcMine.218 tarnt sich etwa als harmlose Wetter-Toolbar, lädt jedoch ebenfalls den schadhaften Miner (Tool.BtcMine.130) herunter.

Betroffen sind dabei alle Betriebssysteme. Seit 2014 befindet sich sogar Schadsoftware für Android im Umlauf. Diese Schädlinge verbreiten sich über modifizierte Versionen von beliebten Apps und werden dann aktiviert, wenn das infizierte mobile Gerät im Stand-by-Modus ist. Das perfide dabei: Diese Trojaner schwächen nicht nur die Leistung der Batterien, sondern erhöhen auch die Temperatur der mobilen Geräte. Es gab sogar Meldungen zu Explosionen von überhitzten Akkus.

Doch nicht nur heruntergeladene Software und Apps bergen Risiken. Selbst Webseiten können über vermeintlich harmlose Plug-Ins oder Skripte unbemerkt die Rechenleistung für das Mining anzapfen. Zwar verdienen Kriminelle auf diese Weise mit dem Schürfen der Kryptowährung kaum etwas, allerdings gleicht die potentielle Masse an Opfern diesen Umstand aus: Gemäß Statistik haben 80 Prozent aller Webseiten Sicherheitslücken.

Die Einfallstore für Mining-Software sind also groß. Solange der Siegeszug und die Verbreitung von Kryptowährung ungebremst weitergeht, ist auch in Zukunft mit immer neuen und verbesserten Versionen von entsprechenden Trojanern zu rechnen. Nutzer sollten daher bei der Auswahl ihrer Downloads vorsichtig sein und dafür sorgen, dass die entsprechenden Sicherheitsvorkehrungen in Form eines aktuellen Virenschutzes vorhanden sind.

Über den Autor: Wjatscheslav Medwedew ist Leading Analyst in der Abteilung für Technical Business Development bei Doctor Web. Medwedew studierte Luftfahrtantriebe am Moskauer Luftfahrtinstitut (MAI) und sammelte bereits während des Studiums Erfahrung im Bereich Softwareentwicklung. Später war er bei verschiedenen IT-Sicherheitsunternehmen angestellt.

(ID:45260633)