Forscher entdecken neue Krypto Währung

Forscher haben eine neue Malware entdeckt, die Krypto-Währung und andere elektronische Gelder stiehlt, indem sie heimlich Brieftaschen oder Zahlungsinformationen verändert, wenn Opfer sie in die Zwischenablage ihrer Geräte kopieren.

Anstatt die gleichen Informationen einzufügen, die sie gerade kopiert haben, fügen die Opfer stattdessen unwissentlich bösartige Brieftaschen oder Zahlungsinformationen ein, die fest in die Malware kodiert wurden; folglich senden sie Geld an den Cyberkriminellen statt an die beabsichtigte Partei, erklärt ein Blogbeitrag des Unit 42-Bedrohungsteams von Palo Alto Networks vom 5. März, dessen Forscher die Bedrohung Ende letzten Monats gemeinsam mit dem Cyber-Sicherheitsunternehmen Proofpoint aufgedeckt haben.

Das Konzept hinter Crypto Trading

Das Konzept hinter der Malware, genannt ComboJack, ist, dass „Wallet-Adressen sind in der Regel lang und komplex, und um Fehler zu vermeiden, werden die meisten Benutzer entscheiden, eine genaue Zeichenfolge zu kopieren, Fehler beim Trading um mögliche Fehler zu vermeiden“, Staat Blog-Post Co-Autoren und Forscher Brandon Levene und Josh Grunzweig. Cyberkriminelle zählen daher darauf, dass infizierte Benutzer beim Einfügen der geänderten Zielinformationen unaufmerksam sind.

Laut Palo Alto zielt ComboJack auf vier Krypto-Währungen: Bitcoin, Ethereum, Litecoin und Monero. In diesem Sinne erinnert es sehr an CryptoShuffler, eine weitere diebische Malware, die Krypto-Währungsinformationen modifiziert, die 2017 von Kaspersky Lab entdeckt wurde. Allerdings, im Gegensatz zu CryptoShuffler, ComboJack geht auch nach digitalen Zahlungssystemen zu – insbesondere Qiwi, WebMoney (Transaktionen in USD oder Rubel) und Yandex Money.

„Indem der Autor von ComboJack mehrere Krypto-Währungen und webbasierte Geldbörsen ins Visier nimmt, scheint er seine Wetten darauf abzusichern, welche Währung boomt und welche platzen wird“, erklärt der Blogbeitrag.

Die Taktik der Malware

Die Taktik der Malware ist zwar clever, aber die ersten Ergebnisse scheinen nicht beeindruckend. Während es nicht möglich ist, die Aktivitäten aller bösartigen Brieftaschen zu verfolgen – Moneros Betonung der Privatsphäre erlaubt es zum Beispiel nicht -, haben die, die Palo Alto beobachten kann, zum Zeitpunkt des Schreibens dieses Artikels kein Geld in sich. „Es war ein ziemlich kleiner Angriff und erfordert einiges an Glück auf der Seite des Angreifers, um ihn richtig auszuführen, weshalb er wahrscheinlich mehr oder weniger erfolglos war“, sagte Grunzweig in einem E-Mail-Interview mit SC Media.

Palo Alto und Proofpoint fanden die Malware am 25. Februar, als sie eine E-Mail-basierte Malspam-Kampagne für amerikanische und japanische Benutzer untersuchten. Die E-Mail soll von einer Person namens Kim Moon stammen, die behauptet, dass jemand einen Pass verloren hat. Der Spam versucht, die Empfänger dazu zu bringen, einen Anhang zu öffnen, der wie ein PDF-Bild des wiederhergestellten Reisedokuments aussieht.

Beim Öffnen dieser PDF-Datei wird eine einzelne Textzeile angezeigt, die eine eingebettete RTF-Datei enthält, die CVE-2017-8579, eine Erhöhung der Berechtigungsschwachstelle in Microsoft DirectX, ausnutzt, um ein eingebettetes Remote-Objekt zu laden. Dieses Objekt, eine HTA (HTML Application)-Datei, führt ein PowerShell-Skript aus, das eine Reihe von selbstextrahierenden ausführbaren Dateien (SFX) startet, die schließlich die endgültige Payload von ComboJack liefern.

ComboJack verwendet dann das Windows-Tool attrib.exe, um seine eigenen Attribute zu setzen, so dass die Malware ihre Datei vor dem Benutzer verbergen und mit Berechtigungen auf Systemebene ausführen kann, berichtet Unit 42. Nach dem Einrichten der Persistenz beginnt ComboJack als nächstes jede halbe Sekunde, den Inhalt der Zwischenablage des Opfers nach Zahlungsinformationen zu durchsuchen.

„Jede Art von Brieftaschenadresse folgt einer eigenen, unterschiedlichen Namenskonvention“, so Grunzweig gegenüber SC Media. „Zum Beispiel, eine Monero Brieftasche hat eine Länge von 95 oder 106 und beginnt mit’4′. Die Malware ist hartkodiert, um nach verschiedenen Brieftaschentypen zu suchen, und wenn sie diese findet, ersetzt sie diese durch ihre eigenen Brieftascheninformationen.“

Wie Palo Alto Intelligence Director Ryan Olsen am Dienstag in einem separaten Firmen-Blogpost feststellte, hat es in den letzten sechs Monaten einen deutlichen Anstieg der Cyberkriminalität gegeben. Aber auch Krypto-Brieftaschendiebe haben sich als eine weitere Möglichkeit für Gegner herausgestellt, den Krypto-Währungswahn zu nutzen.

This entry was posted in Empfänger. Bookmark the permalink.

Comments are closed.