Sicherheitsanfälligkeit in XWiki
Laut einem aktuellen Bericht nutzen Hacker eine Sicherheitsanfälligkeit in XWiki, einer webbasierten Plattform zur Erstellung von Inhalten, um Programme auf fremden Computern auszuführen. Der Fehler im Template-System von XWiki ermöglicht es böswilligen Akteuren, die Kryptowährung Monero (XMR) ohne Erlaubnis zu minen.
Funktionsweise des Angriffs
Die Hacker senden eine Anfrage, die ein kleines Programm (x640) auf den Computer eines unglücklichen Opfers herunterlädt. Anschließend wird eine weitere Anfrage ausgeführt, die dieses Programm aktiviert. Das betreffende Programm lädt zwei zusätzliche Skripte herunter (x521 und x522), die einen Monero-Miner (tcrond) installieren und ausführen, während sie andere Mining-Prozesse auf dem infizierten Rechner stoppen.
Übertragung der geminten Tokens
Die mit dem gehackten Computer geminten Monero-Token werden dann über c3pool.org übertragen.
Weitere Sicherheitsanfälligkeiten
Der Bericht von Hacker News, der Daten von der CISA zitiert, erwähnt auch Sicherheitsanfälligkeiten in DELMIA Apriso, die es Hackern ermöglichen, Code auf ähnliche Weise aus der Ferne auszuführen.
Schutzmaßnahmen für Betroffene
Personen, die möglicherweise Opfer von Cryptojacking geworden sind – der Praxis, illegal Kryptowährung mithilfe des Computers eines anderen zu minen – sollten die IP-Adressen blockieren und das Netzwerk auf Verbindungen zu c3pool.org überwachen. Selbstverständlich sollten auch die mit dem Miner verbundenen Dateien entfernt werden, wenn sie auf dem betroffenen Computer gefunden werden.
