Neuer Crypto-Miner zielt auf Linux

F5 Networks warnt vor einem in der Skriptsprache Python erstellten Crypto Miner, der sich derzeit über das SSH-Protokoll verbreitet. Davon betroffen sind Linux-Betriebssysteme. Infizierte Geräte werden zu einem Botnetz hinzugefügt, um die Cryptowährung Monero zu schürfen.

moneroDen Sicherheitsforschern zufolge sucht das Botnet aktiv nach möglicherweise anfälligen Linux-Maschinen. Anschließend versucht es, die SSH-Anmeldedaten zu erraten, um eine Verbindung herzustellen und die PyCryptoMiner genannte Schadsoftware einzuschleusen. Ein erstes Skript stellt dafür eine Verbindung zu einem Befehlsserver her, um von dort weitere Befehle und Skripte zu erhalten.

Die Adresse des Befehlsservers im Internet sei nicht fest in dem schädlichen Skript verankert, so die Forscher weiter. Die Entwickler des Botnets nutzten stattdessen Pastebin, um aktuelle Adressen zu veröffentlichen, was einen Wechsel zu neuen Serveradressen erleichtere. Hosting-Dienste wie Pastebin böten den Vorteil, dass sie sich nicht vollständig abschalten oder sperren ließen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Auf Pastebin nutzen die Cyberkriminellen demnach den Nutzernamen “Whathappen”, der mit anderen Befehlsservern sowie der Online-Identität “Xinqian Rhys” in Verbindung gebracht wird. Sie sollen Zugriff auf mehr als 36.000 Domains haben, die unter anderem für Betrug, Online-Glücksspiel und pornografische Inhalte benutzt werden.

PyCryptoMiner wiederum richtet auf einem infizierten Linux-System einen Cron Job ein, um seine Ausführung zu automatisieren. Zudem sammelt er Informationen über das Betriebssystem, die Hardware und die CPU-Nutzung. Außerdem prüft das Skript, ob das System bereits infiziert wurde.

Darüber hinaus stellten die Forscher während ihren Untersuchungen fest, dass die Skripte laufend weiterentwickelt werden. Hinzu kam zuletzt eine Suche nach JBoss-Servern, die anfällig für Angriffe auf die vor wenigen Monaten veröffentlichte Schwachstelle CVE-2017-12149 sind.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Aktuell sind die Befehlsserver des Botnets jedoch inaktiv. Laut F5 Networks müssten die Hintermänner lediglich die Serveradressen aktualisieren, um das Botnet wieder in Betrieb zu nehmen. Bis einschließlich Dezember 2017 soll das Botnet 46.000 Dollar generiert haben.

[mit Material von Charlie Osborne, ZDNet.com]

Redaktion

Recent Posts

ING setzt bei Kundenservice auf conversational und generative KI

Bestehenden Systeme im Kundenservice stießen an ihre Grenzen. Klassische Chatbots konnten einfache Fragen beantworten.

2 Stunden ago

Enkeltrick auf Milliardenniveau: KI-Sabotage im Finanzsektor

KI wird zunehmend zum Ziel von Cyberangriffen durch Prompt Injections, warnt Christian Nern von KPMG.

13 Stunden ago

Isolierte Cloud für Regierungen und Verteidigungsorganisationen

Oracle Cloud Isolated Regions sind sichere, vom Internet getrennte Cloud-Lösungen.

13 Stunden ago

Entwicklung des Quantencomputers stellt Risiko für Cybersicherheit dar

Nur Vier Prozent der Unternehmen verfügen über eine definierte Strategie für das Quantencomputing.

15 Stunden ago

Berlin Institute of Health (BIH) vereinfacht Kubernetes-Management mit Hilfe von Kubermatic

Wachsender Bedarf an Kubernetes-Clustern zur Unterstützung von Forschungsprojekten erforderte eine Lösung für automatisiertes Cluster-Management.

2 Tagen ago

REWE Group treibt digitale Transformation voran

Seit Januar 2025 überführt REWE digital schrittweise 73 neue SAP-Systeme in die Google Cloud.

4 Tagen ago