Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürft

Mit Krypto-Mining lässt sich viel Geld verdienen - vor allem, wenn man fremde Computer für sich schürfen lässt. Eine Malware, die das ermöglicht, hat das Projekt Internetwache.org aufgespürt und analysiert. So harmlos die Software aussieht, so gefährlich ist sie.

Eine Analyse von Tim Philipp Schäfers und Sebastian Neef veröffentlicht am
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Cyberkriminelle haben eine Malware programmiert, mit der sie auf fremden Geräten Krypto-Mining betreiben. Der autonome Wurm verbreitet sich über verschiedene Wege und nutzt als Wirtssystem auch industrielle Kontrollsysteme. Eine Analyse von Internetwache.org zeigt, wie die Malware arbeitet, was sich damit vermutlich verdienen lässt und warum das Vorgehen erhebliche Gefahren mit sich bringt.

Auf den ersten Blick sieht die Datei, hinter der sich die gefährliche Krypto-Mining-Schadsoftware verbirgt, harmlos aus, beinahe wie ein normaler Ordner unter Windows. Das einzige, was Benutzer, die die Anzeige von Dateierweiterungen eingeschaltet haben, wundern sollte, ist, dass es sich um eine SCR-Datei (Bildschirmschoner) handelt. Diese trägt meist den Namen "photo.scr" und findet sich auf zahlreichen FTP-Servern im Internet. Die Server haben einen Anonymous-Zugriff konfiguriert und lassen Schreibrechte zu.

  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)


Zuletzt ist die Malware zunehmend auf eigentlich geschützte Systeme geraten, darunter beispielsweise auf eine USV (unterbrechungsfreie Stromversorgung) aus dem technischen Netzwerk von Cisco oder Gebäudesteuerungen in Deutschland. Wie sie sich ihren Weg dahin bahnt und warum das äußerst gefährlich werden kann, soll dieser Artikel erläutern.

Die Datei enthält, anders als der Name vermuten lässt, kein Foto und ist auch kein Ordner (Icon). Offenbar scheint die Neugier bei vielen Nutzern gegenüber der Vorsicht aber zu überwiegen, und sie führen die Schadsoftware trotzdem aus. Statt ein Foto oder deinen Bildschirmschoner zu öffnen, nimmt in dem Fall allerdings ein sich selbst entpackendes Archiv die Arbeit auf. Unter den entpackten Dateien befinden sich ein Krypto-Mining-Tool (für 32-Bit und 64-Bit-Rechner) und ein Programm zum Verbinden auf FTP-Server. Außerdem werden Registry-Einträge verändert, geplante Tasks angelegt und Starteinträge verändert. Danach passiert erstaunlicherweise erst einmal ... nichts.

Für ein Antivirensystem ist es schwer, an dieser Stelle durch heuristische Methoden zu ermitteln, ob das entsprechende Verhalten gewollt ist oder nicht - es sich also um Schadsoftware oder gewollte Programme handelt. Schließlich wird das Programm durch den Nutzer bewusst ausgeführt. So haben etwa die Hersteller einer Software der Computerspiele-Community E-Sports Entertainment Association (ESEA) League eine gewisse Zeit eine Funktion zum Krypto-Mining in ihrer Software versteckt. Als das aufflog, mussten sie einem Vergleich in Höhe von einer Million US-Dollar zustimmen, um eine Anklage zu vermeiden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Schadsoftware erwacht nach fünf Wochen 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...



Aktuell auf der Startseite von Golem.de
Elektromobilität
Warum der Elektroauto-Hype erst anfängt

In den vergangenen Wochen konnte man den Eindruck gewinnen, als sei das Elektroauto schon abgeschrieben. Doch das scheint eine typisch deutsche Debatte zu sein.
Eine Analyse von Friedhelm Greis

Elektromobilität: Warum der Elektroauto-Hype erst anfängt
Artikel
  1. Gearbox: Take Two kauft Borderlands-Macher für 460 Millionen Dollar
    Gearbox
    Take Two kauft Borderlands-Macher für 460 Millionen Dollar

    Verlustgeschäft für Embracer? Der angeschlagene Publisher trennt sich für 460 Millionen US-Dollar von Gearbox (Borderlands, Duke Nukem).

  2. Hyperloop: Europas längste Hyperloop-Teströhre ist fertig
    Hyperloop
    Europas längste Hyperloop-Teströhre ist fertig

    Die Röhre ist über 400 Meter lang und ermöglicht auch, das Abbiegen zu testen. Sie steht allen Hyperloop-Entwicklern offen.

  3. Alte App: Microsoft verkündet offiziell das Ende von Wordpad
    Alte App
    Microsoft verkündet offiziell das Ende von Wordpad

    Es ist offiziell: Mit dem Update 24H2 wird Microsoft Wordpad aus Windows 11 entfernen. User sollen stattdessen Word oder Notepad nutzen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Palit 4070 Super 579,95€ • Xbox-Controller ab 39,99€ • AVM Fritzbox + Repeater -30% • DVDs & Blu-rays -31% • EA -75% • Ubisoft -50% • MindStar: AMD Ryzen 9 7900 339€, MSI RTX 4080 Super Ventus 3X OC 1.099€ • Gratis-Zugaben PS5 Slim & Nintendo Switch OLED beim TV-Kauf [Werbung]
    •  /