PSW Group: KryptoCibule umgeht Antiviren-Programme Eset, Avast und AVG
Malware stiehlt Kryptocoins
Kryptowährung kann als Zahlungsmittel und sogar Investitionsobjekt an Beliebtheit gewinnen. Die Einheiten der Währung werden dabei über pure Rechenleistung „geschürft“. Nun ist es Forschern aus dem Hause Eset gelungen, eine bislang nicht dokumentierte Malware-Familie ausfindig zu machen, die den Namen KryptoCibule bekam. Der Trojaner verbreitet sich über bösartige Torrents und nutzt verschiedenartige Methoden, um nicht entdeckt zu werden und möglichst viele Kryptocoins von den Opfern zu stehlen. Die meisten infizierten Torrents wurden auf uloz.to entdeckt, einer in Tschechien und der Slowakei sehr beliebten Filesharing-Site. Darauf verwiesen die Sicherheitsexperten der PSW Group in einer aktuellen Mitteilung.
„Oft tarnt sich die Malware als Installationsprogramm, entweder für raubkopierte oder geknackte Spiele oder Software. Neben der Verbreitung der Malware KryptoCibule gibt es auch Downloads zusätzlicher Tools sowie Updates. Die Malware startet sodann im Hintergrund, während das Installationsprogramm sichtbar für das Opfer im Vordergrund gestartet wird. Einen Hinweis darauf, dass womöglich etwas nicht stimmt, erhält der Nutzende nicht“, warnt Patrycja Tulinska, Geschäftsführerin der PSW Group. Die Opferrechner können anschließend zum Seeding der Malware zur Verbreitung beitragen. Zudem diene das BitTorrent-Protokoll auch zum Download von Malware-Updates sowie zusätzlicher Software.
KryptoCibule sucht speziell nach Sicherheitsprodukten von Eset, Avast oder AVG. Mit einer Vielzahl von Techniken gelingt es der Malware, ihre Erkennung durch Sicherheitsprodukte zu verhindern. Die Malware tarnst sich bei der Installation als legitimer InstallShield, zudem erfolgt die Installation meist in bereits vorhandene oder eigentlich legitime Ordner. „Bevor die Malware startet, findet außerdem ein Scan nach Antiviren-Programmen statt. Per Shell können Pfade aus Windows Defender ausgeschlossen werden. Die Malware macht dies, sodass infizierte Pfade nicht mehr gescannt werden“, ergänzt Tulinska. Weiter erstell sie Firewall-Ausnahmen, sodass auch die Firewall der Malware nicht auf die Spur kommen kann.
Torrent-Dateien wie die Malware KryptoCibule kommen vorrangig auf Filesharing-Plattformen zum Einsatz – aber nicht nur. „Es heißt also nicht, dass niemand in Gefahr ist, nur weil sie oder er Online-Tauschbörsen bislang nicht genutzt hat“, so Tulinska. Die Risiken, die beim Download von Torrent-Dateien entstehen, sind vielen Nutzern nicht bewusst. Die IT-Sicherheitsexpertin rät deshalb: „Auch wer keine Filesharing-Plattformen aufsucht, sollte wachsam blieben. Nach wie vor ist der beste Malware-Schutz die Prävention. Das A und O ist ein aktueller Virenschutz, ergänzt um regelmäßige, idealerweise automatisierte, Virenscans. Darüber hinaus sollten Dateien ausschließlich von bekannten und sicheren Servern heruntergeladen werden. Zudem rate ich, Downloads vor dem Ausführen oder Entpacken auf Viren und andere Malware zu prüfen.“
Die größte technische Sicherheit nütze jedoch gar nichts, wenn die Mitarbeiter mit ihr nicht umgehen können. Es sei deshalb sinnvoll, nicht nur in gute Firewalls und Sicherheitssoftware zu investieren, sondern auch die eigenen Mitarbeiter in Sachen Sicherheit zu sensibilisieren. Erste Hilfe dazu kann zum Beispiel der neue LANline Security Awareness Newsletter leisten, den Interessierte kostenlos abonnieren können: https://newsletter.lanline.de/.
Weitere Informationen stehen unter https://www.psw-group.de/blog/krypto-mining-malware-kryptocibule/7775 zur Verfügung.
Lesen Sie mehr zum Thema
