Die Hacker-Gruppe Stantinko machte mit einem der größten Bot-Netze weltweit bereits durch den Diebstahl von Anmeldedaten, durch Betrugsfälle und Manipulation von Werbe-Bannern auf sich aufmerksam. Aktuell sind Eset-Forscher nach eigenen Angaben auf ein neues Geschäftsmodell der Bot-Netz-Betreiber gestoßen: Krypto-Mining auf mehr als 500.000 Rechnern. Damit ihre Machenschaften unentdeckt bleiben, tarnen sie ihr Schadprogramm auf den infizierten Rechnern. Öffnen die Betroffenen den Task Manager oder geht das betroffene Geräte in den Batteriemodus, schließt sich der Coin-Miner von Stantinko und bleibt unsichtbar.

„Es überrascht nicht, dass die Kriminellen hinter Stantinko neue Wege suchen, um die finanziellen Gewinne durch das Bot-Netz weiter zu erhöhen. Krypto-Mining ist ertragreicher und schwerer nachzuverfolgen als ihr altes Kerngeschäft Adware“, erklärt Thomas Uhlemann, Eset-Security-Spezialist. Bei mehr als einer halben Million infizierter Rechner winken den Cybergangstern lukrative Einnahmen. Die neue Masche habe allerdings den Nachteil, dass das Schürfen von Krypto-Währungen enorme Systemressourcen verbraucht, führt Uhlemann weiter aus. „Das macht selbst das Öffnen des Browsers zum Geduldspiel. Daher versuchen die Kriminellen trickreiche Wege zu gehen, um das Schadprogramm vor gewöhnlichen Internetnutzern zu verschleiern“.

Wo bisher Werbung nur aufdringlich war, stört die neue Masche selbst einfachste Arbeiten. Wer immer noch meint, beim Download illegaler Raubkopien teurer Software und Spiele auf obskuren Webseiten ein Schnäppchen zu machen, wird eines Besseren belehrt werden, so der Experte.

Zur Verschleierung der Kommunikation arbeitet das Schadprogramm mit Proxies, deren IP-Adressen aus dem Beschreibungstext von Youtube-Videos ermittelt werden. Diese Technik sei sehr ausgeklügelt, weil der Besuch der Video-Plattform zunächst nicht ungewöhnlich ist. Youtube wurde bereits von Eset informiert und die Videos gelöscht, so die Sicherheitsfachleute weiter.

Weitere Informationen zum aktuellen Fall und zum Stantinko-Bot-Netz gibt es auf www.welivesecurity.com/deutsch/2019/11/26/stantinko-botnet-coinminer/.

Dr. Jörg Schröper ist Chefredakteur der LANline.