Laut dem slowakischen Internet-Sicherheitsunternehmen ESET hat das Stantinko-Botnetz einzigartige Techniken für den heimlichen Abbau von Monero auf etwa einer halben Million von ihm kontrollierten Computern eingesetzt.
Neue Verschleierungstechniken
In seinem neuen Beitrag hat ESET fünf neue Möglichkeiten aufgezeigt, wie Cryptojacker das illegale Cryptocurrency Mining verschleiern können. Am aufwändigsten ist es, die Bitcoin Profit Zeichenfolgen zu generieren, die von der Malware im Arbeitsspeicher des Computers verwendet werden. In der Zwischenzeit dienen die im Modul eingebetteten Zeichenfolgen möglicherweise keinem anderen Zweck als der Täuschung der Antivirensoftware des Opfers.
„Da alle in einer bestimmten Funktion zu verwendenden Zeichenfolgen zu Beginn der Funktion immer nacheinander zusammengestellt werden, kann man die Einstiegspunkte der Funktionen emulieren und die Sequenzen druckbarer Zeichen extrahieren, die entstehen, um die Zeichenfolgen freizulegen“, erklärt der ESET-Forscher Vladislav Hrčka erklärt.
Um eine Entdeckung zu vermeiden, verlassen sich schlechte Akteure auch auf Techniken wie das Hinzufügen von totem Code und toten Ressourcen.
Eine neue Monetarisierungsstrategie
Das Botnetz, das bereits 2012 seinen Betrieb aufnahm, richtet sich hauptsächlich an Benutzer aus Russland und der Ukraine. Im vergangenen Jahr hat der Verbrecher dahinter ein Modul Monero (XMR) hinzugefügt, die anonyme Kryptowährung, um einfacheres Geld zu generieren. Zuvor war es für die Monetarisierung auf Werbebetrug und Diebstahl von Anmeldeinformationen angewiesen.
Monero ist seit Jahren der Liebling der Cryptojacker. Wie von U.Today berichtet, machen illegal abgebaute Münzen mehr als vier Prozent des gesamten Umlaufangebots der Kryptowährung aus.