Monereo (XMR) Malware zielt es auf Linux-Systeme ab

Anzeige

Wie ein Cybersecurity-Unternehmen herausgefunden hat, werden Linux-Systeme mit einer Malware infiziert, um damit Monero zu schürfen. 

Malware schürft heimlich Monero auf Linux Systemen

Wie das Cybersecurity-Unternehmen JASK herausgefunden hat, zielt es die Outlaw Gruppe derzeit stark auf Linux-Systeme ab, die sie für Krypto-Mining-Angriffe nutzen. Die Outlaw Gruppe ist keine unbekannte. Schon im November 2018 wurde über den bekannten Shellbot dieser Gruppe berichtet, der Malware in Systeme einschleust.

Am Dienstag hat das JASK Special Ops Forschungsteam Details über eine Angriffswelle bekannt gegeben, die sich auf Linux-Infrastrukturressourcen für illegale Mining-Aktivitäten spezialisiert.

Bei dem Angriff wird eine abgeänderte Version eines Shellbots genutzt. Dieser Trojaner baut einen Tunnel zwischen dem infizierten System und einem Command-and-Controll-Server (C2) auf, der von den Angreifern betrieben wird.

Dieser Bot tauchte erstmals im November 2018 im Markt auf. Laut Trend Micro wurde die Malware von der Outlaw-Gruppe entwickelt, einer Übersetzung des rumänischen Worts “haiduc”, das immer wieder auf den Systemen hinterlassen wird.

Durch die Hintertür ist es möglich, System- und persönliche Daten zu sammeln, aktuelle Prozesse zu beenden, Payloads herunterzuladen, Remote-Befehle auszuführen, Informationen an den C2 Server zu schicken und auch weitere Malware-Payloads von Kontrollern zu erhalten.

Der Shellbot ist ein IRC-Bot, der über Sicherheitslücken in die Systeme eingeschleust wird, kann nicht nur für Linux Server, sondern auch für IoT-Geräte gefährlich werden. Neben diesen kann er laut den Forschern auch Windows-Systeme beeinflussen.

Jedes der betroffenen Systeme wurde mit der IRC-C2-Botware, Crypto-Mining-Malware und dem “haiduc” SSH-Scan und Netzwerk-Propagierungs-Toolkit infiziert. Mittels der Crypto-Mining-Malware wurde Monereo geschürft.

Der Pool für die Generierung der Kryptwährung ist allerdings zurzeit nicht aktiv und die einzigen verfügbaren Hinweise zeigen, dass der Pool auf einem Spielserver gehostet wurde.

“Das deutet darauf hin, dass die Kampagnenakteure möglicherweise einen eigenen Mining-Pool bei diesem Anbieter aufgebaut haben, anstatt öffentlich verfügbare zu verwenden.”

so die Forscher.

Laut JASK wird das Botnet derzeit zur Monetarisierung kompromittierter Computersysteme durch verteilte Denial-of-Service-Attachen (DDoS)  für Leihdienste neben dem Schürfen genutzt.

Das Toolkit von Outlaw wurde jetzt auch um einen auf Perl basierenden IRC-Bot erweitert, der als neue Version des Shellbots identifiziert wurde und der Perls Pack-Routine zur Verschleierung nutzt.

Der C2 Server ist noch aktiv und das Botnet wächst. Die steigenden Nutzlasten deuten auf eine Wiederverwendung des Codes hin, der von den Betreibern aus verschiedenen Regionen der Welt genutzt wird. JASK hat auch neu angepasste Nutzlasten beobachtet, mit denen spezifische Mining-Aufgaben für verschiedene Architekturen und nach einem Wurm-ähnlichen Verhalten erstellt werden.

Quellenangaben: Cointelegraph
Bildquelle: Pixabay

Anzeige
Hinterlasse einen Kommentar

Leave a comment: