Neuer Crypto-Miner zielt auf Linux

F5 Networks warnt vor einem in der Skriptsprache Python erstellten Crypto Miner, der sich derzeit über das SSH-Protokoll verbreitet. Davon betroffen sind Linux-Betriebssysteme. Infizierte Geräte werden zu einem Botnetz hinzugefügt, um die Cryptowährung Monero zu schürfen.

Den Sicherheitsforschern zufolge sucht das Botnet aktiv nach möglicherweise anfälligen Linux-Maschinen. Anschließend versucht es, die SSH-Anmeldedaten zu erraten, um eine Verbindung herzustellen und die PyCryptoMiner genannte Schadsoftware einzuschleusen. Ein erstes Skript stellt dafür eine Verbindung zu einem Befehlsserver her, um von dort weitere Befehle und Skripte zu erhalten.

Die Adresse des Befehlsservers im Internet sei nicht fest in dem schädlichen Skript verankert, so die Forscher weiter. Die Entwickler des Botnets nutzten stattdessen Pastebin, um aktuelle Adressen zu veröffentlichen, was einen Wechsel zu neuen Serveradressen erleichtere. Hosting-Dienste wie Pastebin böten den Vorteil, dass sie sich nicht vollständig abschalten oder sperren ließen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Auf Pastebin nutzen die Cyberkriminellen demnach den Nutzernamen “Whathappen”, der mit anderen Befehlsservern sowie der Online-Identität “Xinqian Rhys” in Verbindung gebracht wird. Sie sollen Zugriff auf mehr als 36.000 Domains haben, die unter anderem für Betrug, Online-Glücksspiel und pornografische Inhalte benutzt werden.

PyCryptoMiner wiederum richtet auf einem infizierten Linux-System einen Cron Job ein, um seine Ausführung zu automatisieren. Zudem sammelt er Informationen über das Betriebssystem, die Hardware und die CPU-Nutzung. Außerdem prüft das Skript, ob das System bereits infiziert wurde.

Darüber hinaus stellten die Forscher während ihren Untersuchungen fest, dass die Skripte laufend weiterentwickelt werden. Hinzu kam zuletzt eine Suche nach JBoss-Servern, die anfällig für Angriffe auf die vor wenigen Monaten veröffentlichte Schwachstelle CVE-2017-12149 sind.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Aktuell sind die Befehlsserver des Botnets jedoch inaktiv. Laut F5 Networks müssten die Hintermänner lediglich die Serveradressen aktualisieren, um das Botnet wieder in Betrieb zu nehmen. Bis einschließlich Dezember 2017 soll das Botnet 46.000 Dollar generiert haben.

[mit Material von Charlie Osborne, ZDNet.com]

Redaktion

Recent Posts

Präventive IT-Sicherheit im KI-Zeitalter

Kein anderer Sektor wird von der KI-Entwicklung so stark aufgewirbelt wie die IT-Sicherheit, sagt Ray…

6 Stunden ago

Mercedes und Siemens entwickeln digitalen Energiezwilling

Ziel ist es, das Zusammenspiel von Energieeffizienz und Nachhaltigkeit in der Fabrikplanung zu verbessern.

8 Stunden ago

Podcast: Zero Trust zum Schutz von IT- und OT-Infrastruktur

"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…

1 Tag ago

Paradies für Angreifer: überfällige Rechnungen und „Living-off-the-Land“

HP Wolf Security Threat Insights Report zeigt, wie Cyberkriminelle ihre Angriffsmethoden immer weiter diversifizieren, um…

1 Tag ago

EU-Staaten segnen Regulierung von KI final ab

AI Act definiert Kennzeichnungspflicht für KI-Nutzer und Content-Ersteller bei Text, Bild und Ton.

2 Tagen ago

eco zum AI Act: Damit das Gesetz Wirkung zeigen kann, ist einheitliche Auslegung unerlässlich

Aufbau von Aufsichtsbehörden auf nationaler und EU-Ebene muss jetzt zügig vorangetrieben werden.

2 Tagen ago