Neue Cryptojacking-Kampagne von Darktrace
Das Cybersicherheitsunternehmen Darktrace hat eine neue Cryptojacking-Kampagne identifiziert, die darauf abzielt, Windows Defender zu umgehen und Krypto-Mining-Software zu installieren. Diese Kampagne, die erstmals Ende Juli entdeckt wurde, umfasst eine mehrstufige Infektionskette, die heimlich die Rechenleistung eines Computers kapert, um Kryptowährung zu minen.
Techniken und Methoden der Angreifer
Die Darktrace-Forscher Keanna Grelicha und Tara Gould erläuterten in einem Bericht, der mit crypto.news geteilt wurde, dass die Kampagne speziell auf Windows-basierte Systeme abzielt. Sie nutzt PowerShell, die integrierte Befehlszeilen-Shell und Skriptsprache von Microsoft, um böswillige Akteure in die Lage zu versetzen, schädliche Skripte auszuführen und privilegierten Zugriff auf das Hostsystem zu erlangen.
Diese schädlichen Skripte sind so konzipiert, dass sie direkt im Systemspeicher (RAM) ausgeführt werden. Daher sind traditionelle Antiviren-Tools, die typischerweise auf das Scannen von Dateien auf den Festplatten eines Systems angewiesen sind, nicht in der Lage, den schädlichen Prozess zu erkennen.
Anschließend verwenden die Angreifer die Programmiersprache AutoIt, ein Windows-Tool, das normalerweise von IT-Profis zur Automatisierung von Aufgaben eingesetzt wird, um einen schädlichen Loader in einen legitimen Windows-Prozess einzuschleusen. Dieser Loader lädt dann ein Krypto-Mining-Programm herunter und führt es aus, ohne offensichtliche Spuren im System zu hinterlassen.
Verteidigungsmaßnahmen und Auswirkungen
Als zusätzliche Verteidigungslinie ist der Loader so programmiert, dass er eine Reihe von Umgebungsprüfungen durchführt, wie das Scannen nach Anzeichen einer Sandbox-Umgebung und das Überprüfen des Hosts auf installierte Antivirenprodukte. Die Ausführung erfolgt nur, wenn Windows Defender der einzige aktive Schutz ist.
Darüber hinaus versucht das Programm, einen Bypass der Benutzerkontensteuerung (User Account Control) durchzuführen, um erhöhten Zugriff zu erlangen, falls das infizierte Benutzerkonto keine administrativen Berechtigungen hat. Wenn diese Bedingungen erfüllt sind, lädt das Programm NBMiner herunter und führt es aus, ein bekanntes Krypto-Mining-Tool, das die Grafikeinheit eines Computers verwendet, um Kryptowährungen wie Ravencoin (RVN) und Monero (XMR) zu minen.
In diesem Fall konnte Darktrace den Angriff mit seinem Autonomous Response-System eindämmen, indem es verhinderte, dass das Gerät ausgehende Verbindungen herstellt und spezifische Verbindungen zu verdächtigen Endpunkten blockiert.
„Da Kryptowährung weiterhin an Beliebtheit gewinnt, wie die anhaltend hohe Bewertung der globalen Marktkapitalisierung von Kryptowährungen (fast 4 Billionen USD zum Zeitpunkt des Schreibens) zeigt, werden Bedrohungsakteure Cryptomining weiterhin als profitables Unterfangen betrachten,“ schrieben die Darktrace-Forscher.
Im Juli hatte Darktrace eine separate Kampagne gemeldet, bei der böswillige Akteure komplexe Social-Engineering-Taktiken verwendeten, um sich als echte Unternehmen auszugeben und Benutzer zu täuschen, damit sie veränderte Software herunterladen, die Krypto-stehlende Malware installiert. Im Gegensatz zu dem zuvor genannten Cryptojacking-Schema zielte dieser Ansatz sowohl auf Windows- als auch auf macOS-Systeme ab und wurde von ahnungslosen Opfern selbst durchgeführt, die glaubten, mit Unternehmensinsidern zu interagieren.
