Millionen PCs mit Krypto-Mining-Tool XMRig infiziert

Krypto-Mining erweist sich als steigendes Problem. Nachdem Miner Browser für ihre Berechnungen beim Besuch von Webseiten nutzten, geht die Entwicklung weiter. Eine Malware-Kampagne verteilt Krypto-Mining-Tool XMRig auf PCs, um unabhängig von einer Browserverbindung Krypto-Geld zu schürfen.


Anzeige

Sicherheitsforscher von Palo Alto Networks haben seit über vier Monaten eine Malware-Kampagne beobachtet. Diese zielt auf Windows-Systeme und versucht die Rechner mit einem Krypto-Mining-Tool XMRig zu infizieren. Dieses soll dann durchgehend Monero-Krypto-Geld schürfen.

XMRig verzichtet auf JavaScript-Code, der per Browser ausgeführt wird. Vielmehr wird die Malware über zwei VBscript-Programme aus dem Internet nachgeladen und auf dem PC installiert.

Krypto-Mining-Tool XMRig
(Quelle: Palo Alto Networks)

Verbreitet wird die Malware über URLs, die mit Link-Verkürzern wie bit.ly und ad.fly gekürzt werden. Diese Kurzlinks verweisen oftmals auf Dateien mit Bezeichnungen wie [File4org]_421064.exe, [Dropmefiles]_420549.exe oder [RapidFiles]_48905.exe. Lädt der Benutzer diese Dateien herunter und führt sie aus, wird der Miner aktiv. Weitere Details finden sich im Palo Alto-Dokument sowie bei heise.de.


Anzeige


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Millionen PCs mit Krypto-Mining-Tool XMRig infiziert

  1. nook sagt:

    … [File4org]_421064.exe … Lädt der Benutzer diese Dateien herunter und führt sie aus, wird der Miner aktiv.

    Mit dieser Info lehne ich mich doch schon entspannt zurück …

    Was mir seit längerem auffällt ist die präzise Beschreibung (auf allen Seiten, nicht nur hier!) wie der ganze Kram arbeitet und funktioniert.

    Wie man sich das Zeug einfängt steht irgendwo dazwischen, am Ende oder gar nirgends.

    Für mich sollte das ganz oben und fett hinter der Überschrift stehen.
    jm2c ;-)

    • sacklzement sagt:

      Ja das sollte es, aber solange es Mitmenschen gibt die in Akkus und Waschkugeln beißen, sehen ich das als belanglos… Die Dummheit und Einfälltigkeit sind heutzutage einfach grenzenlos und diese Spezies deshalb schon fast in der Überzahl und gefühlt auch noch permanent und wohl chronisch ;)

    • deoroller sagt:

      "wie der ganze Kram arbeitet und funktioniert"

      Das ist ein technischer Vorgang, der keinen bloßstellt, bei dem selbst das Hirn aussetzte, weil er etwas runter laden wollte, das er unbedingt haben wollte.
      Anders ist es nicht erklärbar, weshalb jemand Müll herunterlädt, obwohl er es bei klarem Verstand wissen müsste, dass es nichts geschenkt gibt. Alles hat seinen Preis.

  2. schattenmensch sagt:

    Die Anwendungen „wscript.exe" und „cscript.exe" mittels Gruppenrichtlinien Editor (ab Windows Professionell) oder Restrictor (ab Windows Home) blockieren. Somit können keine vbs-Scripte mehr ausgeführt werden. Damit kann auch keine Datei durch das Script heruntergeladen werden.

    Restrictor:
    https://www.heise.de/ct/artikel/Restric-tor-Profi-Schutz-fuer-jedes-Windows-3690890.html

    Leider ging nicht hervor, welche Windows Versionen von dem Krypto-Mining-Tool befallen sind. Seit Windows 8 verfügt Windows doch über einen erweiterten „Smart Screen Filter", der auch Dateien die aus dem Internet stammen, mit einer entsprechenden Liste auf den Microsoft Servern abgleichen soll. Vorausgesetzt der Filter ist nicht abgeschaltet. Nicht selten kommt noch eine Antiviren Lösung zum Einsatz. Das Verhalten, dass irgendein Script eine Datei aus dem Internet lädt und dann ausführt sollte doch den Antiviren Lösungen bekannt sein. Die nutzen doch in vielen Fällen noch ergänzend ihre Cloud Lösungen.

  3. Robert sagt:

    Hilft dagegen auch so eine Erweiterung wie NoCoin in Firefox?
    https://addons.mozilla.org/de/firefox/addon/no-coin/

    • schattenmensch sagt:

      Das Addon schützt nach Angaben auf der von dir verlinkten Seite gegen Mining. Gegen vbs-Scripte schützt das Addon nicht. NoCoin, uBlock usw. setzen auf Listen. Es kann möglich sein, dass die Seiten die das bösartige vbs-Scripte verteilen entsprechend in der List aufgenommen wurden und somit das vbs-Script nicht geladen wird.

      Das Addon schützt aber nicht mehr, wenn das vbs-Script schon geladen und ausgeführt wurde und die Malware ihre Arbeit aufgenommen hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.