Cyberkriminelle setzen nach Erkenntnissen von Experten des IT-Security-Anbieters Kaspersky Lab auf immer ausgefeiltere Methoden, um Unternehmensrechner mit Mining-Malware zu infizieren. Die Angriffstechniken sollen bislang hauptsächlich im Kontext zielgerichteter Angriffe bekannt gewesen sein. Für die Angreifer ein lukratives Geschäft: Die erfolgreichste Gruppe hat nach Angaben des IT-Sicherheitsanbieters in nur sechs Monaten mindestens sieben Millionen Dollar erwirtschaftet. Laut den Sicherheitsexperten sind 2017 die Angriffe mit schädlichen Minern gegen Privatanwender und Unternehmen im Vergleich zum Vorjahr um 50 Prozent gestiegen.

Vor allem die enorme Wertsteigerung des Bitcions habe dazu geführt, dass Cyberkriminelle zum Schürfen neuer Kryptomünzen jetzt Mining-Software nutzen, die ein ähnliches Modell der Monetarisierung wie Ransomware verfolgen. Anwender werden zwar nicht über die Zerstörung von Daten geschädigt, doch Mining-Malware bleibt oft für längere Zeit unentdeckt auf den PCs ihrer Opfer, um deren Rechenleistung auszubeuten.

Das IT-Sicherheitsunternehmen geht davon aus, dass Kriminelle im Jahr 2017 insgesamt 2,7 Millionen Anwender mit schädlichen Minern angegriffen haben. 2016 waren es noch 1,87 Millionen. Um die Rechner ihrer Opfer zu infizieren, setzten die Angreifer unter anderem auf Adware, gecrackte Spiele und Piraterie-Software. Eine weitere Infektionsmethode lief über einen speziellen Code, der auf infizierten Websites platziert war. Beispielsweise habe man den am weitesten verbreiten Miner CoinHive auf vielen populären Websites entdeckt.

Zudem haben Kaspersky-Experten nach eigenen Angaben eine Gruppe ausgemacht, die in ihr Arsenal für die Infektion mit Mining-Software Techniken aufgenommen hat, die bisher von APTs (Advanced Persistent Threats) bekannt sind. Die Gruppe verwendet beispielsweise erstmals Methoden der Prozessaushöhlung (Process Hollowing), die im Kontext von Mining-Angriffen zwar noch neu sind, die APT-Akteure aber bei anderer Malware und zielgerichteten Angriffen bereits eingesetzt haben.

Dabei verleiten sie Opfer zum Download oder zur Installation von Adware, die einen versteckten Installer für Mining-Software in sich trägt. Der Installer legt laut Kaspersky eine legitime Windows-Utility-Software ab, dessen Hauptzweck darin besteht, den eigentlichen Miner von einem entfernten Server herunterzuladen. Nach der Ausführung starte ein legitimer Systemprozess, dessen Code mit Schadcode überschrieben wird. Im Ergebnis operiert der Miner anschließend in der Maske eines legitimen Tasks, so der IT-Security-Anbieter. Nutzer können den Schädling folglich nicht als Mining-Infektion identifizieren. Auch Sicherheitslösungen sollen Schwierigkeiten bei der Erkennung haben.

Bemerkenswert finden die Kaspersky-Experten die Tatsache, dass sich dieser neue Prozess außerdem nicht löschen lässt. Sollte der Anwender versuchen, ihn zu stoppen, komme es zu einem Neustart des Systems. Auf diese Weise gelinge es den Kriminellen, die Verweildauer der Malware im System der Opfer zu verlängern und dort lange produktiv zu operieren.

Die Akteure hinter diesem Angriff schürften die Kryptowährung Electroneum und sollen im zweiten Halbjahr 2017 rund sieben Millionen Dollar erwirtschaftet haben. Diese Summe lässt sich mit per Ransomware erzielten Einnahmen vergleichen, so Kaspersky.

Weitere Informationen finden sich unter www.kaspersky.de.

Timo Scheibe ist Redakteur bei der LANline.