Malwarebytes-Forscher Arntz über Malware-Trends

Rückkehr der heimlichen Schürfer droht

22. Juli 2022, 7:00 Uhr | Wilhelm Greiner
Cryptomining-Malware im Chrome-Store
© Malwarebytes

Alle reden von Ransomware – kein Wunder, angesichts der vielen Erpressungsfälle, die immer wieder Schlagzeilen machen. Pieter Arntz, Malware Intelligence Researcher bei Malwarebytes, warnt hingegen, dass das Wiederaufkommen eines fast schon vergessenen Malware-Zweigs zu erwarten ist: Cryptomining-Malware. Eine schädliche Chrome-Extension dieser Art hat er kürzlich entdeckt.

Verbrecherbanden, die mit digitaler Erpressung mittels Verschlüsselungstrojaner ihr Geld machen, sind in den letzten Jahren regelrecht zur Plage geworden. „Es gibt immer mehr Ransomware-Gangs“, bestätigt Security-Forscher Pieter Arntz von Malwarebytes, „und die machen sich keine Gedanken über ihre Opfer oder ob Leben gefährdet sind.“ Diesen Satz bestätigt auch der aktuelle Ransomware-Report von Zscaler: „Ransomware-Angriffe haben im Vergleich zum Vorjahr um 80 Prozent zugenommen, wobei Ransomware as a Service bei acht der elf größten Ransomware-Familien zum Einsatz kommt“, so der Bericht – und im Gesundheitssektor betrage die Zunahme von Ransomware-Vorfällen sogar 650 Prozent.

Ransomware as a Service – also die arbeitsteilige Durchführung von Erpresserangriffen, wobei eine Gruppe für Erstellung und Pflege des Codes und der Angriffsinfrastruktur zuständig ist, eine andere für die eigentliche Durchführung des Angriffs – liegt damit im Trend. Ein weiterer Trend ist die doppelte Erpressung mittels Interna eines Unternehmens, die eine Angreifergruppe vor dem Verschlüsseln exfiltriert hat: „Die Erpressung mit gestohlenen Daten wurde früher bei Nichtzahlung genutzt, jetzt schaut man sich die Daten im Hinblick auf eine mehrfache Erpressung an“, so Arntz. Sprich: Das betroffene Unternehmen soll zahlen, damit es verschlüsselte Datenbestände wiedererhält – und dann nochmals, damit die Angreifergruppe die entwendeten Interna nicht veröffentlicht.

Manche Sicherheitsforscher berichten bereits von „dreifacher Erpressung“: Die Kriminellen versuchen hierbei, weitere Organisationen wie etwa Partner oder Kunden des kompromittierten Unternehmens zu erpressen, an deren Interna sie durch Exfiltration bei einem Ransomware-Angriff gelangt sind. Dieses Vorgehen hat laut Arntz allerdings bislang kein nennenswertes Momentum: „Ich weiß nicht, ob dreifache Erpressung ein großer Trend werden wird, das ist noch nicht raus“, sagt er.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
„Ich denke, dass wir beim Cryptomining wieder neue Malware erwarten können“, sagt Malwarebytes-Forscher Pieter Arntz.
„Ich denke, dass wir beim Cryptomining wieder neue Malware erwarten können“, sagt Malwarebytes-Forscher Pieter Arntz.
© Malwarebytes

Eine andere Art von Malware hingegen könnte laut dem Malwarebytes-Experten wieder Fahrt aufnehmen: Cryptomining-Malware, also Schadsoftware, die heimlich Rechenressourcen befallener Rechner für das Schürfen von Kryptowährungen missbraucht. „Ich denke, dass wir beim Cryptomining wieder neue Malware erwarten können“, sagt Arntz. Denn angesichts gestiegener Energiepreise und letzthin gefallener Kurse für Kryptowährungen werde Malware wieder interessant, die die Kosten für das Cryptomining an unbeteiligte Dritte auslagert.

Der Bitcoin-Kurs ist von knapp 42.800 Euro Ende März auf gerade einmal 18.000 Euro Mitte Juni abgestürzt, derzeit liegt er bei 22.465 Euro. Damit, so Arntz, funktioniere das Geschäftsmodell der großen Cryptomining-Farmen nicht mehr. „Da ist es dann wieder besser, die Computer von jemand anderem zu nutzen“, umreißt er die Motivation der Cyberkriminellen.

In einem Blog-Post beschrieb Arntz, wie Malwarebytes auf neue Cryptomining-Malware gestoßen ist: „Opfer haben von Browser-Erweiterungen berichtet, die von Malwarebytes entfernt wurden, aber später auf ‚magische Weise‘ wieder auftauchten.“

„Es stellte sich heraus, dass die Schuldigen Sucherweiterungen waren“, so Arntz weiter. „Das ist oft der Fall, wenn wir potenziell unerwünschte Programme (PUPs) entdecken, die Malware-Taktiken anwenden, um installiert zu werden und Persistenz zu erzielen.“ Die bösartigen Chrome-Erweiterungen namens ‚active search bar‘ und ‚custom search bar‘ nutzen laut seinen Erkenntnissen ein PowerShell-Skript, das alle vier Stunden läuft, um diese „magische“ Persistenz zu erreichen: Das Skript reinstalliert die Chrome-Erweiterung ohne Wissen und Zutun des Nutzers.

Ärgerlich: „Die Search-Hijacker ‚active search bar‘ und ‚custom search bar‘ waren zum Zeitpunkt der Erstellung dieses Artikels beide im Chrome Web Store verfügbar, obwohl wir sie bereits Tage zuvor gemeldet hatten“, berichtet Arntz.

Details zur Cryptomining-Malware liefert Pieter Arntz in diesem Blog-Post:
https://blog.malwarebytes.com/threat-analysis/2022/06/forced-chrome-extensions-keep-reappearing/.


Verwandte Artikel

Malwarebytes

Malware

Cybercrime