Kryptowährungen
Wenn du sie nicht stehlen kannst, schürfe sie
Fortsetzung des Artikels von Teil 1
Anatomie eines Kryptowährungs-Angriffs
Cyberkriminelle installieren ihre Miner meist über den Versand von E-Mail. Daneben nutzen sie Exploit-Kits (EKs) oder webbasierte Social-Engineering-Programme. Die Mails enthalten eine starke Social-Engineering-Komponente, die Benutzer dazu verleitet, auf den Link zu klicken und ein Dokument herunterzuladen oder ein angehängtes Dokument zu öffnen. Dies können PDFs, gezippte Skripte oder andere bösartige Dateien sein. So kann ein empfangener Lebenslauf Schadcode enthalten. In einem Fall wurde der Microsoft Background Intelligent Transfer Service (BITS) dazu verwendet, den SmokeLoader zu laden und zu installieren, der wiederum einen Monero Coin Miner lädt.
Da Monero noch mit der Rechenleistung eines handelsüblichen PCs geschürft werden kann, ist diese Währung für diese Angriffe am beliebtesten. Der wesentlich rechenintensivere Bitcoin wird in aller Regel eher gestohlen, da dieser mittlerweile eine zu hohe Rechenleistung, wie etwa ein Hochleistungsrechner-Cluster, bedarf.
In einigen Fällen beinhalten Angriffe keine Malware. Zum Beispiel erstellt einer der Cyberkriminellen gefälschte Kryptowährungs-Walletseiten und bucht Google-Anzeigen, um Besucher für seine Seite zu generieren. Wenn diese auf den gefälschten Webseiten ihre Wallet-Zugangsdaten eingeben, werden diese dann ausgelesen und zur Entwendung von ihrem virtuellen Kapital genutzt.
Wallet-Adressen zu lang
Bei den Wallet-Adressen von Kryptowährungen handelt es sich um lange Zeichenfolgen die häufig von ihren Anwendern per Copy-und-Paste in ein entsprechendes Formular eingefügt werden. Daher manipuliert Malware zuweilen die Zwischenablage und überwacht deren Inhalt auf Kryptowährungs-Wallets. Die Malware sendet dann diese kopierten Inhalte zu einer im Schadcode hinterlegten Adresse des Angreifers. Aufgrund der Länge und Komplexität der Adressleiste ist es unwahrscheinlich, dass die Endbenutzer die Änderung bemerken und Geld an den Cyberkriminellen überweisen, anstatt die Zahlung dem rechtmäßigen Empfänger zukommen zu lassen. In der Vergangenheit konnte dieses Angriffsmuster bereits bei Bitcoin, Ethereum, Monero und Liberty Reserve beobachtet werden.
Coinhive – Zubrot für Webseitenbetreiber
Ursprünglich wurde Coinhive dazu entwickelt, um es Webseitenbetreibern zu ermöglichen, ihre Seiten zu monetarisieren, indem sie die Prozessorleistung ihrer Besucher nutzen, um Moneros zu errechnen. Einige Seiten haben dazu einen JavaScript-Code implementiert, um ihre Besucher darüber zu informieren. In vielen anderen Fällen jedoch haben Angreifer diesen Code geändert und auf Webseiten eingefügt, ohne die Nutzer aufzuklären. Nach einer Untersuchung des US-Amerikanischen Cybersecurity-Spezialisten Proofpoint ist dieser Missbrauch im gesamten zweiten Quartal 2018 angestiegen. Ab Ende Mai führte dies zu einem raschen Anstieg des Coinhive-Verkehrs, was einem Anstieg von 460 Prozent gegenüber dem Vorquartal entsprach.
Auch bei mobilen Endgeräten konnte ein Anstieg des böswilligen Gebrauchs von Coinhive beobachtet werden. So wurden Anfang des Jahres 19 Android-Anwendungen, die den Coinhive-Code beinhalten, auf dem offiziellen Google Play Store zur Verfügung gestellt. Die Apps luden unbemerkt eine Instanz des bösartigen Coinhive-Skripts, das beim Start der App ausgeführt wurde und ein WebView öffnete. Falls kein WebView verwendet wurde, versteckte die Malware die WebView-Komponente und führte den Mining-Code im Hintergrund aus. Diese Apps wurden inzwischen aus dem Play Store entfernt.
Kryptowährungen machen auch weiterhin Schlagzeilen, sei es wegen schwerer Diebstähle an Kryptowährungs-Wallets oder Währungsmanipulation. Die eigentliche Bedrohung, der direkte Diebstahl virtueller Zahlungsmittel durch Malware, wird seltener angesprochen. Gleichzeitig werden – auch wenn sich die Kurse der Kryptowährungen von ihren Höchstständen wieder entfernt haben, virtuelle Währungen mittels Schadsoftware geschürft.
Für viele Akteure stellt das Mining, sei es durch webbasiertes Cryptojacking oder durch installierte Malware, "freies Geld" dar. Es ist unabhängig von der Volatilität der realen Währung und weniger problematisch als Erlös aus Erpressung. Es kann länger auf den Rechnern der Opfer verbleiben. So verlängert sich die Aktionsdauer der Cyberkriminellen.
Werner Thalmeier ist Director Sales Engineering EMEA bei Proofpoint
- Wenn du sie nicht stehlen kannst, schürfe sie
- Anatomie eines Kryptowährungs-Angriffs
Lesen Sie mehr zum Thema
