Gefälschter Werbeblocker liefert hybride Cryptominer/Ransomware-Infektion

Cyber Security News

Ein hybrider Monero-Kryptominer und Ransomware-Bug hat innerhalb von 60 Tagen 20.000 Rechner befallen.

Auf seinem letzten Höhepunkt im Februar, der Monero Miner Kryptowährung Ransominer wurde Targeting mehr als 2,500 Benutzer pro Tag, getarnt als ein Antivirus-Installer. Jetzt, die trickreiche Hybrid-Malware ist wieder auf dem Vormarsch, dieses Mal imitiert einen Werbeblocker und OpenDNS-Service.

Insgesamt hat es mehr als 20.000 Benutzer in weniger als zwei Monaten infiziert, warnte Forscher bei Kaspersky, in einem Bericht am Mittwoch.

[Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

Beim Ransomining übernehmen Bedrohungsakteure die Rechenleistung, um Kryptowährung – in diesem Fall Monero – zu schürfen, und verschlüsseln außerdem die Daten, die sie als Lösegeld einfordern. In diesem Fall wird der Open-Source XMRig Ransominer als Basis verwendet, sagte Kaspersky.

Die als Anwendung namens “AdShield Pro” getarnte Malware sieht aus und verhält sich wie die Windows-Version des legitimen mobilen Werbeblockers AdShield und gibt sich darüber hinaus als OpenDNS-Dienst aus, so der Kaspersky-Bericht.

Wie sich die Monero Ransominer Malware der Erkennung entzieht

“Nachdem der Benutzer das Programm gestartet hat, ändert es die DNS-Einstellungen auf dem Gerät, so dass alle Domains über die Server der Angreifer aufgelöst werden, was wiederum verhindert, dass Benutzer auf bestimmte Antiviren-Websites wie Malwarebytes.com zugreifen können”, so die Kaspersky-Forscher. “Nachdem die DNS-Server ausgetauscht wurden, beginnt die Malware, sich selbst zu aktualisieren, indem sie update.exe ausführt.”

Der Updater lädt auch einen modifizierten Transmission-Torrent-Client herunter und führt ihn aus, der die ID des Zielcomputers zusammen mit Installationsdetails an den Command-and-Control-Server (C2) sendet und dann den Miner herunterlädt, so Kaspersky.

Teile der Dateien sind verschlüsselt, um es schwieriger zu identifizieren, der Bericht hinzugefügt.

“Der modifizierte Transmission-Client führt flock.exe aus, die zunächst den Hash der Parameter des infizierten Computers und der Daten aus der Datei data.pak berechnet und dann mit dem Hash aus der Datei lic.data vergleicht”, so der Bericht. “Dies ist notwendig, da der C2 für jeden Rechner einen eigenen Satz von Dateien erzeugt, um eine statische Erkennung zu erschweren und zu verhindern, dass der Miner in verschiedenen virtuellen Umgebungen läuft und analysiert wird.”

An diesem Punkt, wenn die Hashes nicht übereinstimmen, wird die Ausführung gestoppt, sagte der Bericht. Andernfalls wird die Nutzlast entschlüsselt und installiert.

“Um den kontinuierlichen Betrieb des Miners zu gewährleisten, wird eine servicecheck_XX Aufgabe im Windows Task Scheduler erstellt, wobei XX zufällige Zahlen sind”, so der Bericht weiter. “Die Aufgabe führt flock.exe mit dem Argument ‘minimieren’ aus.”

Diese Angriffe scheinen Teil einer früheren Monero-Miner-Kampagne zu sein, die von Avast erstmals im August entdeckt wurde und die den Monero-Ransominer-Bug als Malwarebytes Antivirus-Installationsprogramm tarnte, so die Forscher.

Insgesamt, Benutzer in Russland und Gemeinschaft Unabhängiger Staaten (GUS) Länder sind am ehesten ins Visier genommen werden, fügten sie hinzu.

Wie man den Miner loswird

Kaspersky fügte hinzu, dass der Miner entfernt werden kann, indem die legitime Datei, als die er sich tarnt, neu installiert wird.

Wenn flock.exe auf dem Gerät gefunden wird, empfehlen die Forscher die Deinstallation von NetshieldKit, AdShield, OpenDNS und dem Transmission-Torrent. Sie empfehlen außerdem, diese Ordner zu löschen, falls vorhanden: -C:ProgramDataFlock -%allusersprofile%start menuprogramsstartupflock -%allusersprofile%start menuprogrammestartupflock2

Wenn es vorgibt, eine Malwarebytes-Anwendung zu sein, installieren Sie es neu – wenn das Programm jedoch nicht in der Liste der Anwendungen angezeigt wird, löschen Sie die folgenden Ordner: -%Programmdateien%malwarebytes -Programmdateien (x86)malwarebytes -%windir%.oldprogrammdateienmalwarebytes -%windir%.oldprogram files (x86)malwarebytes

Schließlich empfehlen sie, die Aufgabe “servicecheck_XX” im Windows Taskplaner zu löschen.

Um die Infektion von vornherein zu vermeiden, sollten Benutzer Software nur von legitimen Quellen herunterladen und raubkopierte Versionen vermeiden.

Schauen Sie sich unsere kostenlosen kommenden Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com