Malwarebytes-Forscher Arntz

Rückkehr der heimlichen Schürfer droht

22. Juli 2022, 10:52 Uhr | Wilhelm Greiner | Kommentar(e)
Cryptomining-Malware im Chrome-Store
© Malwarebytes

Pieter Arntz, Malware Intelligence Researcher bei Malwarebytes, warnt, dass das Wiederaufkommen eines fast schon vergessenen Malware-Zweigs zu erwarten ist: Cryptomining-Malware. Eine schädliche Chrome-Extension dieser Art hat er kürzlich entdeckt.

Verbrecherbanden, die mit digitaler Erpressung mittels Verschlüsselungstrojaner ihr Geld machen, sind in den letzten Jahren regelrecht zur Plage geworden. „Es gibt immer mehr Ransomware-Gangs“, bestätigt Security-Forscher Peiter Arntz von Malwarebytes, „und die machen sich keine Gedanken über ihre Opfer oder ob Leben gefährdet sind.“ Diesen Satz bestätigt auch der aktuelle Ransomware-Report von Zscaler: „Ransomware-Angriffe haben im Vergleich zum Vorjahr um 80 Prozent zugenommen, wobei Ransomware as a Service bei acht der elf größten Ransomware-Familien zum Einsatz kommt“, so der Bericht – und im Gesundheitssektor betrage die Zunahme von Ransomware-Vorfällen sogar 650 Prozent.

Ransomware as a Service – also die arbeitsteilige Durchführung von Erpresserangriffen, wobei eine Gruppe für Erstellung und Pflege des Codes und der Angriffsinfrastruktur zuständig ist, eine andere für die eigentliche Durchführung des Angriffs – liegt damit im Trend. Ein weiterer Trend ist die doppelte Erpressung mittels Interna eines Unternehmens, die eine Angreifergruppe vor dem Verschlüsseln exfiltriert hat: „Die Erpressung mit gestohlenen Daten wurde früher bei Nichtzahlung genutzt, jetzt schaut man sich die Daten im Hinblick auf eine mehrfache Erpressung an“, so Arntz. Sprich: Das betroffene Unternehmen soll zahlen, damit es verschlüsselte Datenbestände wiedererhält – und dann nochmals, damit die Angreifergruppe die entwendeten Interna nicht veröffentlicht.

Manche Sicherheitsforscher berichten bereits von „dreifacher Erpressung“: Die Kriminellen versuchen hierbei, weitere Organisationen wie etwa Partner oder Kunden des kompromittierten Unternehmens zu erpressen, an deren Interna sie durch Exfiltration bei einem Ransomware-Angriff gelangt sind. Dieses Vorgehen hat laut Arntz allerdings bislang kein nennenswertes Momentum: „Ich weiß nicht, ob dreifache Erpressung ein großer Trend werden wird, das ist noch nicht raus“, sagt er.

Anbieter zum Thema

zu Matchmaker+
Malwarebytes-Forscher Pieter Arntz
„Ich denke, dass wir beim Cryptomining wieder neue Malware erwarten können“, sagt Malwarebytes-Forscher Pieter Arntz.
© Malwarebytes

Eine andere Art von Malware hingegen könnte laut dem Malwarebytes-Experten wieder Fahrt aufnehmen: Cryptomining-Malware, also Schadsoftware, die heimlich Rechenressourcen befallener Rechner für das Schürfen von Kryptowährungen missbraucht. „Ich denke, dass wir beim Cryptomining wieder neue Malware erwarten können“, sagt Arntz. Denn angesichts gestiegener Energiepreise und letzthin gefallener Kurse für Kryptowährungen werde Malware wieder interessant, die die Kosten für das Cryptomining an unbeteiligte Dritte auslagert.

Der Bitcoin-Kurs ist von knapp 42.800 Euro Ende März auf gerade einmal 18.000 Euro Mitte Juni abgestürzt, derzeit liegt er bei 22.465 Euro. Damit, so Arntz, funktioniere das Geschäftsmodell der großen Cryptomining-Farmen nicht mehr. „Da ist es dann wieder besser, die Computer von jemand anderem zu nutzen“, umreißt er die Motivation der Cyberkriminellen.

In einem Blog-Post beschrieb Arntz, wie Malwarebytes auf neue Cryptomining-Malware gestoßen ist: „Opfer haben von Browser-Erweiterungen berichtet, die von Malwarebytes entfernt wurden, aber später auf ‚magische Weise‘ wieder auftauchten.“

„Es stellte sich heraus, dass die Schuldigen Sucherweiterungen waren“, so Arntz weiter. „Das ist oft der Fall, wenn wir potenziell unerwünschte Programme (PUPs) entdecken, die Malware-Taktiken anwenden, um installiert zu werden und Persistenz zu erzielen.“ Die bösartigen Chrome-Erweiterungen namens ‚active search bar‘ und ‚custom search bar‘ nutzen laut seinen Erkenntnissen ein PowerShell-Skript, das alle vier Stunden läuft, um diese „magische“ Persistenz zu erreichen: Das Skript reinstalliert die Chrome-Erweiterung ohne Wissen und Zutun des Nutzers.

Ärgerlich: „Die Search-Hijacker ‚active search bar‘ und ‚custom search bar‘ waren zum Zeitpunkt der Erstellung dieses Artikels beide im Chrome Web Store verfügbar, obwohl wir sie bereits Tage zuvor gemeldet hatten“, berichtet Arntz.

Details zur Cryptomining-Malware liefert Pieter Arntz in diesem Blog-Post:
https://blog.malwarebytes.com/threat-analysis/2022/06/forced-chrome-extensions-keep-reappearing/.

Zuerst erschienen auf lanline.de.


Verwandte Artikel

Malwarebytes

Security-Service

Computerkriminalität

Matchmaker+