Kampf um Rechenleistung: Malware-Krypto-Miner stoppt andere Krypto-Miner

Frank Hüber 53 Kommentare
Kampf um Rechenleistung: Malware-Krypto-Miner stoppt andere Krypto-Miner
Bild: CC0 1.0

Sicherheitsforscher haben erstmals einen Miner für Kryptowährungen entdeckt, der eine „Kill-List“-Funktion enthält, um rivalisierende Mining-Prozesse zu stoppen. Laufende Prozesse anderer Coin-Miner werden beendet, um so die Rechenleistung zur Transaktionsverarbeitung eines infizierten Computers komplett in Beschlag zu nehmen.

Den Sicherheitsforscher Xavier Mertens vom ICS Sans überrascht dieser neue Krypo-Miner im Kampf um CPU-Ressourcen nicht, da entsprechende Malware sich seit Anfang des Jahres und den enormen Kursgewinnen von Kryptowährungen rasant entwickelt und verbreitet hat. Seit Anfang 2018 hat sich die Cyber-Kriminalität von Ransomware verstärkt auf die Verteilung von Krypto-Minern verlagert.

Getarnt als Druckertreiber von HP

Die Malware, die sowohl in einer 32- als auch 64-Bit-Version im Umlauf ist, tarnt sich als Druckertreiber von HP. Die Dateien selbst sind allerdings nicht signiert. Der Krypto-Miner prüft daraufhin, ob bereits ein anderer Miner mit einem AMDDriver64-Prozess läuft und prüft alle Prozesse, die gerade aktiv sind. Diese gleicht die Malware mit der integrierten Liste „$malwares2“ bekannter anderer Krpyto-Mining-Prozesse ab und schließt diese gegebenenfalls. Die Namen der Prozesse weisen dabei bewusst eine große Ähnlichkeit zu bekannten Windows-Prozessen auf.

$malwares2 = "Silence","Carbon","xmrig32","nscpucnminer64","mrservicehost","servisce","svchosts3","svhosts","system64","systemiissec","taskhost","vrmserver","vshell","winlogan","winlogo","logon","win1nit","wininits","winlnlts","taskngr","tasksvr","mscl","cpuminer","sql31","taskhots", "svchostx","xmr86","xmrig","xmr","win1ogin","win1ogins","ccsvchst","nscpucnminer64","update_windows"

Gleichzeitig ist diese Liste aber auch ein guter Anhaltspunkt, um auf dem eigenen System im Task-Manager nach einem im Hintergrund laufenden, ungewollten Krypto-Miner zu suchen.

Das Mining von Kryptowährungen verbraucht enorme Rechnerleistungen. Damit sich das Ganze für Cyberkriminelle auch tatsächlich lohnt, müssen sie so viel CPU-Leistung wie nur irgend möglich nutzen. Gerade in jüngster Zeit konnten wir vermehrt Mining-Trojaner beobachten. Deshalb ist es für mich nicht überraschend, dass ein Angreifer mögliche Rivalen aus dem Feld schlagen will. Sprich, versucht, die Konkurrenz auf einem erfolgreich kompromittierten Rechner zu eliminieren.

Marta Janus, Senior Threat Researcher bei Cylance

Die Malware schaltet nur Konkurrenten aus, theoretisch wäre jedoch auch ein Beenden von Sicherheitslösungen möglich, sofern diese nicht über einen Selbstschutzmechanismus verfügen, der verhindert, dass der Prozess über ein PowerShell-Kommando angehalten werden kann.