Ausgebuffte Kriminelle haben eine neue Angriffstechnik entwickelt, die im Vergleich zu Ransomware bessere Chancen auf Auszahlung bietet: das Cryptojacking. Dabei nutzen sie fremde Rechenressourcen unerlaubt, um nach Kryptowährungen zu schürfen. Diese neue Technik hat Ransomware als Spitzenbedrohung für Privatanwender und Unternehmen abgelöst. Hier finden sich in letzter Zeit verstärkt neue Varianten: Clipboard-Hijacker und das sogenannte Crypto-Phishing.

Aus folgenden Gründen konnte Cryptojacking der Ransomware als Top-Bedrohung ablösen: Es liefert sofortige Einnahmen; potenziell kann jede Art von Gerät nach Kryptowährung schürfen; und die Angreifer können zahlreiche Infektionsmechanismen nutzen. Die hohe Ertragsquote und die vielfältigen Angriffsmöglichkeiten sind aber nicht die einzigen Vorzüge des Cryptojackings. Bösartige Miner lassen sich in praktisch jedes Gerät einschleusen: Brute-Force-Angriffe, ungepatchte Schwachstellen oder kompromittierte Websites (Drive-by Crypto-Mining) sind nur einige Beispiele für bislang gesehene Techniken.

Das Dashboard einer Threat-Protection-Plattform vermittelt ein Bild der Sicherheitslage. Bild: Netskope

Ungepatchte Schwachstellen kamen zum Einsatz, um Endpunkte zu kompromittieren und sie als „Zombies“ für Crypto-Miner-Botnets zu missbrauchen. Das Smomirnu-Botnet und die Wannamine-Malware sind zwei Beispiele für Bedrohungen, die die berüchtigte Eternalblue-Schwachstelle (CVE-2017-0144) ausnutzen. Auch bestehende Malware kann ein Angreifer so umschreiben, dass sie nach Kryptowährung schürft. Allerdings sind Mining-Botnets und Cryptojacking nicht die einzigen Angriffsmöglichkeiten, um die CPU der Opfer zu monetarisieren. Zwei weitere Bedrohungen trifft man vermehrt an: Clipboard-Hijacker und Crypto-Phishing.

Aufstieg der Clipboard-Hijacker

Ende 2017 wurden erstmals Clipboard-Hijacker (auch bekannt als Clipboard-Stealer) entdeckt. Sie zeigen, dass Angreifer schnell gelernt haben, wie man Kryptowährungen über verschiedene Nutzer hinweg transferiert. Dies funktioniert wie folgt: Um Kryptowährungen über verschiedene Nutzer hinweg zu transferieren, müssen diese an lange und schwer merkbare Adressen (eine Kennung mit 26 bis 35 alphanumerischen Zeichen) gesendet werden. Der Einfachheit halber kopieren die Benutzer die Adresse von einer Lokation und fügen sie in die Anwendung ein, mit der sie die Münzen versenden. Dieses Copy and Paste erfolgt über die Windows-Zwischenablage (Clipboard).

Genau das ist es, worauf die Clipboard-Hijacker lauern. Sobald eine Kryptowährungsadresse erkannt wird (etwa Bitcoin, Ethereum, Monero oder irgendeine andere Währung), ersetzt Malware sie durch eine Adresse unter der Kontrolle der Angreifer. Jeder Transfer einer virtuellen Währung wandert dann direkt in die virtuellen Taschen der Angreifer. Diese beweisen dabei durchaus Stil: In einem jüngst aufgedeckten Fall wurden 2,3 Millionen Bitcoin-Adressen überwacht.

Erhöhte Ressourcennutzung als Folge eines Monero-Mining-Vorgangs. Bild: Netskope

Der Transfer von Kryptowährungen per Internet entspricht eigentlich genau dem, wie auch eine Bank in der realen Welt vorgeht. Im ersten Fall findet der Prozess jedoch in einem offenen System statt – was hohe Risiken birgt, den Anwendern aber offenkundig nicht bewusst ist. Denn im oben genannten Fall würde eine Überprüfung der Zieladresse ausreichen, um den Angriff zu vereiteln. Die Nutzer bleiben damit also das schwächste Glied in der Sicherheitskette.

Zielgerichtetes Phishing

Laut einem aktuellen Report [1] konnten Cyberkriminelle im zweiten Quartal 2018 mittels Crypto-Phishing-Betrügereien bei der Einführung neuer digitaler Währungen (Initial Coin Offering, ICO), hauptsächlich auf der Ethereum-Plattform, über 2,3 Millionen Dollar stehlen. Zudem drohen finanziellen Verluste durch traditionellere Mechanismen. Der Modus Operandi eines ICO-Phishing-Betrugs ist vergleichsweise einfach: Wenn die Datenbank der Investoren vor dem Währungsstart in die falschen Hände gerät, senden die Angreifer gefälschte E-Mails an die ICO-Teilnehmer. Die Mails geben vor, vom ICO-Emittenten zu stammen, und enthalten Links zu Wallets, die unter der Kontrolle der Kriminellen stehen. In diese Wallets transferieren die Opfer ihre Gelder in realer oder virtueller Währung. Zwei Beispiele für erfolgreiche Crypto-Phishing-Kampagnen sind Bee Token (Ethereum im Wert von einer Million Dollar gestohlen) und Experty (erbeutete Summe: 150.000 Dollar).

Aber Crypto-Phishing-Kampagnen können auch auf andere Dienste zielen. So wurde im April der DNS-Eintrag des Open-Source-Ethereum-Wallet-Dienstes MyEtherWallet modifiziert. Nutzer, die während des Zeitraums des Hacks auf den Dienst zugriffen, wurden auf eine gefälschte Website umgeleitet. Dort fischten die Angreifer die privaten Schlüssel ab und erbeuteten damit 160.000 Dollar.

Der oben beschriebene Angriff erfolgte unter Mithilfe eines Phishing-Kits, das speziell für MyEtherWallet entwickelt wurde: MEWKit. Denn Kriminelle können ebenso kreativ wie entschlossen vorgehen und gleich mehrere Angriffsvektoren wie das Kapern eines Cloud-Dienstes und ein maßgeschneidertes Phishing-Kit für einen bestimmten Kryptowallet-Dienst nutzen. Zugleich schneiden sie eine traditionelle Technik wie Phishing darauf zu, automatisch Gelder von einem Kryptowährungsdienst abzuziehen. Es ist vorstellbar, dass in Zukunft noch andere Crypto-Phishing-Kits entstehen, auch wenn die Kriminellen im Moment eine besondere Zuneigung zu MyEtherWallet zu haben scheinen, so wie bei einem Hack im Juli.

Cyberkriminelle haben sich in der Kryptowährungs-Landschaft schnell schlau gemacht. Die Phishing-Sites imitieren ICO-, Umtausch- und Wallet-Sites. Zudem umfasst das Angriffsspektrum Seiten, die dem Nutzer Gratis-Coins versprechen. Opfer übersehen im letzteren Fall die simple Grundregel, dass es in dieser Welt nichts geschenkt gibt – das Internet macht da keine Ausnahme.

Viele weitere Varianten

Mit Mining-Botnets und Cryptojacking versuchen Kriminelle, die CPU-Nutzung zu monetarisieren, mit Clipboard-Stealer-Malware und Phishing kapern sie Geldtransfers. Üblicherweise wird die Blockchain-Technologie zwar mit solchen virtuellen Währungen in Verbindung gebracht, sie kann aber noch viel mehr: Ein Ethereum-Whitepaper [2] schlägt verteilte Anwendungen für Identitäts- und Reputationssysteme vor, ebenso für dezentrale Dateispeicherung, dezentrale autonome Organisationen, Peer-to-Peer-Glücksspiel und vieles mehr. Ein Blick auf die Liste der bestehenden verteilten Anwendungen, die auf Ethereum basieren, zeigt, dass dies bereits geschieht – und dass Kriminelle noch mehr Anwendungen und Dienste zu Geld machen oder kapern könnten.

Angaben einer Threat-Protection-Plattform bei fehlerhaften oder schwachen Identity-Management- und Sicherheitseinstellungen. Bild: Netskope

So können beispielsweise Anwender von Distributed Cloud Storage ungenutzte Festplatten und Bandbreite an ein globales dezentrales Cloud-Speichernetz vermieten. Die Dateien werden mit dem Schlüssel des Besitzers kodiert, in Stücke zerlegt und im dezentralen Speicher verteilt. In diesem Fall könnten Angreifer den ungenutzten Festplattenplatz ihrer Opfer monetarisieren, indem sie ihn vermieten und entsprechend dafür bezahlt werden. Andere Projekte zielen darauf ab, die Blockchain dafür zu nutzen, unter Einbeziehung der vorhandenen Netzinfrastruktur einen Marktplatz für Energie zu schaffen. In diesem Fall könnten Angreifer die API-Schlüssel abgreifen (etwas, das auf dem Kryptowährungsmarkt Binance bereits passiert ist) und Energie im Namen ihrer Opfer verkaufen.

Empfehlungen für mehr Sicherheit

Unternehmen und Endanwender können das Risiko, das von Phishing und dem Diebstahl von Kryptowährungen ausgeht, durch folgende Maßnahmen reduzieren:

  • Überwachen Sie die Web-Nutzung mit einer mehrschichtigen Threat-Protection-Plattform, um Phishing und Malware-Infektion aus dem Web zu verhindern.
  • Etablieren Sie ein effektives Patch-Management, und halten Sie den Virenschutz im Unternehmen auf den neuesten Stand.
  • Überprüfen Sie die angesteuerte Wallet beim Transfer von Kryptowährungen, setzen Sie Bookmarks für die Links, und nutzen Sie ausschließlich die per Bookmark gespeicherten Seiten.
  • Verwenden Sie Ressourcen wie Ethereums Betrugsdatenbank Etherscamdb, um Online-Kryptowährungsdienste zu verifizieren.
  • Überprüfen Sie Hyperlinks stets gründlich, um Phishing zu verhindern.

Paolo Passeri ist Global Solutions Architect bei Netskope, www.netskope.com.