{"id":8675,"date":"2025-09-03T12:12:38","date_gmt":"2025-09-03T12:12:38","guid":{"rendered":"https:\/\/satoshibrother.com\/de\/darktrace-meldet-neue-cryptojacking-kampagne-die-windows-defender-umgeht\/"},"modified":"2025-09-03T12:12:38","modified_gmt":"2025-09-03T12:12:38","slug":"darktrace-meldet-neue-cryptojacking-kampagne-die-windows-defender-umgeht","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/de\/darktrace-meldet-neue-cryptojacking-kampagne-die-windows-defender-umgeht\/","title":{"rendered":"Darktrace meldet neue Cryptojacking-Kampagne, die Windows Defender umgeht"},"content":{"rendered":"

Neue Cryptojacking-Kampagne von Darktrace<\/h2>\n

Das Cybersicherheitsunternehmen Darktrace<\/strong> hat eine neue Cryptojacking-Kampagne<\/strong> identifiziert, die darauf abzielt, Windows Defender<\/strong> zu umgehen und Krypto-Mining-Software zu installieren. Diese Kampagne, die erstmals Ende Juli entdeckt wurde, umfasst eine mehrstufige Infektionskette, die heimlich die Rechenleistung eines Computers kapert, um Kryptow\u00e4hrung<\/em> zu minen.<\/p>\n

Techniken und Methoden der Angreifer<\/h2>\n

Die Darktrace-Forscher Keanna Grelicha<\/strong> und Tara Gould<\/strong> erl\u00e4uterten in einem Bericht, der mit crypto.news<\/em> geteilt wurde, dass die Kampagne speziell auf Windows-basierte Systeme<\/strong> abzielt. Sie nutzt PowerShell<\/strong>, die integrierte Befehlszeilen-Shell und Skriptsprache von Microsoft, um b\u00f6swillige Akteure in die Lage zu versetzen, sch\u00e4dliche Skripte auszuf\u00fchren und privilegierten Zugriff auf das Hostsystem zu erlangen.<\/p>\n

Diese sch\u00e4dlichen Skripte sind so konzipiert, dass sie direkt im Systemspeicher (RAM)<\/strong> ausgef\u00fchrt werden. Daher sind traditionelle Antiviren-Tools, die typischerweise auf das Scannen von Dateien auf den Festplatten eines Systems angewiesen sind, nicht in der Lage, den sch\u00e4dlichen Prozess zu erkennen.<\/p>\n

Anschlie\u00dfend verwenden die Angreifer die Programmiersprache AutoIt<\/strong>, ein Windows-Tool, das normalerweise von IT-Profis zur Automatisierung von Aufgaben eingesetzt wird, um einen sch\u00e4dlichen Loader in einen legitimen Windows-Prozess einzuschleusen. Dieser Loader l\u00e4dt dann ein Krypto-Mining-Programm herunter und f\u00fchrt es aus, ohne offensichtliche Spuren im System zu hinterlassen.<\/p>\n

Verteidigungsma\u00dfnahmen und Auswirkungen<\/h2>\n

Als zus\u00e4tzliche Verteidigungslinie ist der Loader so programmiert, dass er eine Reihe von Umgebungspr\u00fcfungen<\/strong> durchf\u00fchrt, wie das Scannen nach Anzeichen einer Sandbox-Umgebung und das \u00dcberpr\u00fcfen des Hosts auf installierte Antivirenprodukte. Die Ausf\u00fchrung erfolgt nur, wenn Windows Defender<\/strong> der einzige aktive Schutz ist.<\/p>\n

Dar\u00fcber hinaus versucht das Programm, einen Bypass der Benutzerkontensteuerung (User Account Control)<\/strong> durchzuf\u00fchren, um erh\u00f6hten Zugriff zu erlangen, falls das infizierte Benutzerkonto keine administrativen Berechtigungen hat. Wenn diese Bedingungen erf\u00fcllt sind, l\u00e4dt das Programm NBMiner<\/strong> herunter und f\u00fchrt es aus, ein bekanntes Krypto-Mining-Tool, das die Grafikeinheit eines Computers verwendet, um Kryptow\u00e4hrungen wie Ravencoin (RVN)<\/em> und Monero (XMR)<\/em> zu minen.<\/p>\n

In diesem Fall konnte Darktrace den Angriff mit seinem Autonomous Response-System<\/strong> eind\u00e4mmen, indem es verhinderte, dass das Ger\u00e4t ausgehende Verbindungen herstellt und spezifische Verbindungen zu verd\u00e4chtigen Endpunkten blockiert.<\/p>\n

\n

„Da Kryptow\u00e4hrung weiterhin an Beliebtheit gewinnt, wie die anhaltend hohe Bewertung der globalen Marktkapitalisierung von Kryptow\u00e4hrungen (fast 4 Billionen USD zum Zeitpunkt des Schreibens) zeigt, werden Bedrohungsakteure Cryptomining weiterhin als profitables Unterfangen betrachten,“ schrieben die Darktrace-Forscher.<\/p>\n<\/blockquote>\n

Im Juli hatte Darktrace eine separate Kampagne gemeldet, bei der b\u00f6swillige Akteure komplexe Social-Engineering-Taktiken<\/strong> verwendeten, um sich als echte Unternehmen auszugeben und Benutzer zu t\u00e4uschen, damit sie ver\u00e4nderte Software herunterladen, die Krypto-stehlende Malware<\/strong> installiert. Im Gegensatz zu dem zuvor genannten Cryptojacking-Schema zielte dieser Ansatz sowohl auf Windows- als auch auf macOS-Systeme ab und wurde von ahnungslosen Opfern selbst durchgef\u00fchrt, die glaubten, mit Unternehmensinsidern zu interagieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Neue Cryptojacking-Kampagne von Darktrace Das Cybersicherheitsunternehmen Darktrace hat eine neue Cryptojacking-Kampagne identifiziert, die darauf abzielt, Windows Defender zu umgehen und Krypto-Mining-Software zu installieren. Diese Kampagne, die erstmals Ende Juli entdeckt wurde, umfasst eine mehrstufige Infektionskette, die heimlich die Rechenleistung eines Computers kapert, um Kryptow\u00e4hrung zu minen. Techniken und Methoden der Angreifer Die Darktrace-Forscher Keanna Grelicha und Tara Gould erl\u00e4uterten in einem Bericht, der mit crypto.news geteilt wurde, dass die Kampagne speziell auf Windows-basierte Systeme abzielt. Sie nutzt PowerShell, die integrierte Befehlszeilen-Shell und Skriptsprache von Microsoft, um b\u00f6swillige Akteure in die Lage zu versetzen, sch\u00e4dliche Skripte auszuf\u00fchren und privilegierten Zugriff auf<\/p>\n","protected":false},"author":3,"featured_media":8674,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[65,415,3373],"class_list":["post-8675","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-hack","tag-microsoft","tag-monero"],"yoast_description":"Darktrace pr\u00e4sentiert eine ausgekl\u00fcgelte Cryptojacking-Kampagne, die Windows Defender umgeht und PowerShell sowie AutoIt nutzt, um Kryptow\u00e4hrung unentdeckt zu minen.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/8675","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=8675"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/8675\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/8674"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=8675"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=8675"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=8675"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}