Neuer Crypto-Miner zielt auf Linux

Stefan Beiersmann,

Ein Python-basierter Schädling will ungefragt die Rechenpower von Servern und Linux-Systemen kapern um damit die Kryptowährung Monero zu minen.

F5 Networks warnt vor einem in der Skriptsprache Python erstellten Crypto Miner, der sich derzeit über das SSH-Protokoll verbreitet. Davon betroffen sind Linux-Betriebssysteme. Infizierte Geräte werden zu einem Botnetz hinzugefügt, um die Cryptowährung Monero zu schürfen.

moneroDen Sicherheitsforschern zufolge sucht das Botnet aktiv nach möglicherweise anfälligen Linux-Maschinen. Anschließend versucht es, die SSH-Anmeldedaten zu erraten, um eine Verbindung herzustellen und die PyCryptoMiner genannte Schadsoftware einzuschleusen. Ein erstes Skript stellt dafür eine Verbindung zu einem Befehlsserver her, um von dort weitere Befehle und Skripte zu erhalten.

Die Adresse des Befehlsservers im Internet sei nicht fest in dem schädlichen Skript verankert, so die Forscher weiter. Die Entwickler des Botnets nutzten stattdessen Pastebin, um aktuelle Adressen zu veröffentlichen, was einen Wechsel zu neuen Serveradressen erleichtere. Hosting-Dienste wie Pastebin böten den Vorteil, dass sie sich nicht vollständig abschalten oder sperren ließen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

zum Webinar »

Auf Pastebin nutzen die Cyberkriminellen demnach den Nutzernamen “Whathappen”, der mit anderen Befehlsservern sowie der Online-Identität “Xinqian Rhys” in Verbindung gebracht wird. Sie sollen Zugriff auf mehr als 36.000 Domains haben, die unter anderem für Betrug, Online-Glücksspiel und pornografische Inhalte benutzt werden.

PyCryptoMiner wiederum richtet auf einem infizierten Linux-System einen Cron Job ein, um seine Ausführung zu automatisieren. Zudem sammelt er Informationen über das Betriebssystem, die Hardware und die CPU-Nutzung. Außerdem prüft das Skript, ob das System bereits infiziert wurde.

Darüber hinaus stellten die Forscher während ihren Untersuchungen fest, dass die Skripte laufend weiterentwickelt werden. Hinzu kam zuletzt eine Suche nach JBoss-Servern, die anfällig für Angriffe auf die vor wenigen Monaten veröffentlichte Schwachstelle CVE-2017-12149 sind.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Jetzt herunterladen »

Aktuell sind die Befehlsserver des Botnets jedoch inaktiv. Laut F5 Networks müssten die Hintermänner lediglich die Serveradressen aktualisieren, um das Botnet wieder in Betrieb zu nehmen. Bis einschließlich Dezember 2017 soll das Botnet 46.000 Dollar generiert haben.

[mit Material von Charlie Osborne, ZDNet.com]