Darktrace warnt vor neuer Cryptojacking-Kampagne, die Windows Defender umgehen kann. Cryptojacking-Kampagnen durch Social Engineering.

Das Cybersicherheitsunternehmen Darktrace hat eine neue Cryptojacking-Kampagne identifiziert, die darauf ausgelegt ist, Windows Defender zu umgehen und eine Krypto-Mining-Software zu installieren.

Die erstmals Ende Juli identifizierte Cryptojacking-Kampagne umfasst eine mehrstufige Infektionskette, die unbemerkt die Rechenleistung eines Computers kapert, um Kryptowährungen zu minen, erklärten die Darktrace-Forscherinnen Keanna Grelicha und Tara Gould in einem Bericht, der mit crypto.news geteilt wurde.

Laut den Forschern zielt die Kampagne speziell auf Windows-basierte Systeme ab, indem sie PowerShell ausnutzt, Microsofts integrierte Befehlszeilenschnittstelle und Skriptsprache, über die Angreifer bösartige Skripte ausführen und privilegierten Zugriff auf das Hostsystem erlangen können.

Diese bösartigen Skripte sind so konzipiert, dass sie direkt im Systemspeicher (RAM) ausgeführt werden. Dadurch sind herkömmliche Antiviren-Tools, die in der Regel auf das Scannen von Dateien auf den Festplatten eines Systems angewiesen sind, nicht in der Lage, den bösartigen Prozess zu erkennen.

Anschließend nutzen die Angreifer die Programmiersprache AutoIt, ein Windows-Tool, das üblicherweise von IT-Fachleuten zur Automatisierung von Aufgaben verwendet wird, um einen bösartigen Loader in einen legitimen Windows-Prozess einzuschleusen. Dieser lädt dann ein Krypto-Mining-Programm herunter und führt es aus, ohne offensichtliche Spuren auf dem System zu hinterlassen.

Als zusätzliche Verteidigungslinie ist der Loader so programmiert, dass er eine Reihe von Umgebungsprüfungen durchführt, wie das Scannen nach Anzeichen einer Sandbox-Umgebung und die Überprüfung des Hosts auf installierte Antivirenprodukte.

Die Ausführung erfolgt nur, wenn Windows Defender der einzige aktive Schutz ist. Falls das infizierte Benutzerkonto keine Administratorrechte besitzt, versucht das Programm, die Benutzerkontensteuerung zu umgehen, um erhöhte Zugriffsrechte zu erlangen.

Wenn diese Bedingungen erfüllt sind, lädt das Programm den NBMiner herunter und führt ihn aus – ein bekanntes Krypto-Mining-Tool, das die Grafikkarte eines Computers nutzt, um Kryptowährungen wie Ravencoin (RVN) und Monero (XMR) zu minen.

In diesem Fall konnte Darktrace den Angriff mithilfe seines Autonomous Response-Systems eindämmen, indem „das Gerät daran gehindert wurde, ausgehende Verbindungen herzustellen, und bestimmte Verbindungen zu verdächtigen Endpunkten blockiert wurden“.

„Da Kryptowährungen weiterhin an Popularität gewinnen, wie an der anhaltend hohen Bewertung der globalen Marktkapitalisierung von Kryptowährungen zu sehen ist (zum Zeitpunkt des Schreibens fast 4 Billionen USD), werden Bedrohungsakteure das Kryptomining weiterhin als lukratives Geschäft betrachten“, schrieben die Darktrace-Forscher.

Cryptojacking-Kampagnen durch Social Engineering

Bereits im Juli hatte Darktrace eine separate Kampagne gemeldet, bei der Angreifer komplexe Social-Engineering-Taktiken einsetzten, wie das Vortäuschen realer Unternehmen, um Nutzer dazu zu bringen, manipulierte Software herunterzuladen, die Krypto-stehlende Malware installiert.

Im Gegensatz zu dem oben genannten Cryptojacking-Schema richtete sich dieser Ansatz sowohl an Windows- als auch an macOS-Systeme und wurde von ahnungslosen Opfern selbst ausgeführt, die glaubten, mit Firmeninsidern zu interagieren.