Neue Hacker-Tricks
Trojaner schürfen Kryptogeld
K rypto-Mining, also das Schürfen nach Bitcoin & Co. mittels aufwendiger Kalkulationen, erfordert eine hohe ComputerPerformance und erzeugt dadurch einen enormen Stromverbrauch. Dafür winkt den Minern jedoch eine hohe Belohnung, im Fall Bitcoin sind es 12,5 Coins, was beim aktuellen Kurs von rund 6.600 Euro etwa 82.500 Euro entspricht. Dennoch lohnt sich die Rechnerei mittlerweile nur noch in Ländern mit günstigen Strompreisen wie etwa China oder Island. Es sei denn, man lässt andere für sich rechnen. Seit Ende 2017, als der Bitcoin-Kurs seinen Höchststand erreichte, registrieren Antiviren-Hersteller einen massiven Anstieg von Coin Minern, unerwünschten Programmen, die unbemerkt vom Anwender auf dem PC nach Coins schürfen und ihn den Strom dafür bezahlen lassen. In den meisten Fällen gelangen sie auf den üblichen Wegen zu ihren Opfern, also in Form von Mail-Anhängen, im Setup dubioser Tools und Patches oder über inof zielle Streaming-Sites. In der Security-Szene hat sich für diese Angriffe der Fachbegriff Cryptojacking eta- bliert. Selbst in öffentlichen Hotspots kann die Gefahr lauern. In einem Blog-Beitrag beschreibt ein Entwickler, der sich selbst Arnau Code nennt, wie eine solche Attacke aussehen könnte.
Kaffee trinken und gleichzeitig Krytogeld minen
Stellen Sie sich ein Café mit einem offenen WLAN-Hotspot vor. Dort sitzt ein Hacker, der auf seinem Notebook einen virtuellen Router installiert hat. Mit einer Angriffsmethode namens ARP-Spoo ng leitet er
nun den gesamten Datenverkehr zwischen den WLAN-Clients und dem Router des Cafés über seinen Rechner um. Dort läuft ein Skript mit der Bezeichnung mitmproxy, das sämtliche HTML-Seiten, welche die Gäste über das WLAN ansteuern, automatisch um eine Zeile JavaScript-Code erweitert. Sobald die Seite im Browser des Clients erscheint, wird das Skript ausgeführt und steuert einen einfachen HTTP-Server an, auf dem der Coin Miner Coinhive installiert ist. Er beginnt sofort, die Kryptowährung Monero zu schürfen. Der Anwender bemerkt davon nichts (außer er wirft einen Blick auf die aktuelle CPUAuslastung), er sieht lediglich die Seite, die er aufgerufen hat. Im Hintergrund wird sein Rechner jedoch zum Mining missbraucht, allerdings nur solange er die gewählte Seite betrachtet. Wechselt er zu einer neuen Seite, beginnt das Spiel von vorn. Damit dieses Verfahren auch bei HTTPS-Verbindungen funktioniert, setzt Arnau Code zusätzlich das Skript sslstrip ein. In seinem Blog erläutert er den Code seiner Skripte und beschreibt den Versuchsaufbau mit einem in Virtual Box installierten Linux. Er selbst hat dieses Szenario auf seinem Notebook simuliert, und siehe da: Es funktionierte tatsächlich. Der Einsatz von Coin Minern ist für Hacker deshalb so interessant, da die Programme legal und oftmals frei verfügbar sind. Illegal ist lediglich, den Benutzer einer Site nicht darauf hinzuweisen, dass sein Rechner missbraucht wird, was jedoch je nach Standort des Servers nur selten zu einer Strafverfolgung führen wird. Allerdings dauert es vergleichsweise lange und erfordert hohe Benutzerzahlen, bis das versteckte Krypto-Mining tatsächlich Geld abwirft. Die Hacker vertrauen daher vielfach lieber den bewährten Methoden der Vergangenheit. Eine davon ist der Einsatz von Banking-Trojanern, die Konto- und Kreditkartendaten ausspähen und an einen Command & Control-Server (C&C-Server) übermitteln. Eines der bekanntesten und erfolgreichsten Programme dieser Art ist ZeuS und sein seit Anfang 2016 aktiver Nachfolger ZeuS Panda. Die Schwierigkeit bei solchen Programmen liegt für die Hacker immer darin, sie auf die Computer der Anwender zu bringen. Im November 2017 beschrieben die Sicherheitsforscher von Cisco Talos eine neue und besonders per de Form der Distribution des Virus: Hacker hatten mit Methoden der Search Engine Optimization (SEO) das Google-Ranking manipuliert, um Bankkunden auf ihre Seiten zu locken und die Rechner dort mit dem Trojaner zu in zieren. Manipulierte Google-Ergebnisse führen zu verseuchten Servern Ihre Server hatten sie mit Schlüsselwörtern wie al rajhi bank working hours during ramadan oder bank guarantee format mt760 für Suchanfragen von Bankkunden vor allem aus Indien und dem Nahen Osten optimiert, hinzu kamen Seitentitel wie etwa found download to on a forum oder your query download on site. Wenn nun jemand nach einer entsprechenden GoogleAnfrage dem Link auf die verseuchte Seite folgte, wurden mehrere Skripte ausgeführt, die schließlich den Download eines WordDokuments auslösten. Danach fragte der Browser an, ob der Anwender die Datei speichern oder öffnen wollte. Entschied er sich fürs Öffnen, erschien eine Meldung,
dass das Dokument in einer früheren Version von Word angelegt wurde. Außerdem hieß es, der Anwender solle oben in der gelben Leiste auf Enable Editing und anschließend auf Enable Content klicken. Diese Meldung sah zwar aus, als sei sie von Word erzeugt worden, tatsächlich jedoch hatten die Hacker sie als Bild eingefügt. Falls der Anwender nun tatsächlich in der gelben Word-Leiste mit der Sicherheitswarnung auf Enable Editing (deutsch: Inhalt aktivieren) klickte, wurde die Word-Datei geladen und mit ihr ein Makro, das ZeuS Panda als EXE-Datei herunterlud und ausführte.
Google-Dienste als C&C-Server
Auf Täuschung setzt auch eine Methode, mit der eine Gruppe namens Carbanak Cybergang operierte. Sie versucht allerdings, die professionellen Firewalls von Unternehmen auszutricksen, und zwar über den Einsatz von Google-Diensten. Um in das Firmennetzwerk zu gelangen, versendete die Gruppe ein RTF-Dokument, in das ein VBScript als OLE-Objekt eingebettet war. Wenn der Anwender die Datei öffnete, erschien das OLE-Objekt in Form einer Bitmap, die zu einem Doppelklick aufforderte und versprach, weitere Inhalte freizuschalten. Klickte der Mail-Empfänger das Bild tatsächlich an, blendete Word routinemäßig eine Sicherheitsabfrage ein, ob er das Skript tatsächlich ausführen wolle. Bejahte er das, wurde das Skript gestartet. Es enthielt ein Modul namens ggldr, das Kontakt zu den Diensten Google Apps Script, Google Tabellen und Google Formulare aufnahm. Zunächst fragte es bei Google Apps Script nach, ob der in zierte Computer dort bereits registriert war und eine ID zugewiesen bekommen hatte. Falls nicht, legte das Modul eine solche ID für die App Google Formulare an und erzeugte zudem eine Google-Tabelle. Diese Tabelle verwandelten die Angreifer anschließend in einen C&C-Server, um den in den Computer eingedrungenen Virus zu steuern. Dahinter steckte offenbar die Überlegung, dass Firewalls die Kontaktaufnahme von Clients zu obskuren Servern oftmals unterbinden. Die Google-Services hingegen werden von Anwendern in vielen Firmen genutzt, die Kommunikation mit ihnen ist daher unverdächtig.
Browser-Update führt zu Malware
Eine weitere, in den vergangenen Monaten entdeckte Angriffsvariante tarnt sich als Update-Mechanismus, der dem Anwender eine aktualisierte Version seines Browsers anbietet. Um möglichst viele Benutzer zu erreichen, kaperten die Hacker das Werbenetzwerk von Traf cJunky und blendeten entsprechende Meldungen auf den Seiten der PornHub-Gruppe ein. Beide Unternehmen sonderten die Schadsoftware sofort nach Bekanntwerden aus. Der Fall ist dennoch interessant, da hier versucht wurde, über die in zierten Computer per Klickbetrug Erträge zu erwirtschaften, eine Methode, die dem Cryptojacking nicht ganz unähnlich ist. Die Besucher der genannten Seiten bekamen auf ihren Browser angepasste UpdateMeldungen zu sehen. Es gab Varianten für Microsoft Edge/Internet Explorer, Mozilla Firefox und Google Chrome. Zusätzlich sammelte die Software im Hintergrund Daten zur eingestellten Sprache, zu Provider, geogra schem Standort, Zeitzone, Bildschirmformat und dem Verlauf des aktuellen Browser-Fensters. Auf diese Weise konnten die Hacker einerseits sicherstellen, dass die Update-Meldung tatsächlich
nur englischsprachige User erreichte und Streuverluste vermeiden. Auf der anderen Seite ließ sich mit diesen Daten eine ID des Computers anlegen, über die sich die Recherchen von Antiviren-Experten erschweren ließen. Wenn der Anwender nun tatsächlich mit einem Mausklick das vermeintliche Update auslöste, rief die Malware einen JavaScriptCode auf, der mehrere Dateien herunterlud und Programme startete. Sie versuchten jedoch nicht, den Benutzer auszuspähen, sondern riefen im Hintergrund laufende Browser-Instanzen auf, die anschließend Klicks auf Werbebanner simulierten, die in Wirklichkeit niemand gesehen hatte. Auf dem gleichen Weg wäre es jedoch auch möglich gewesen, eine Ransomware oder einen Krypto-Miner zu installieren.
Android-Spiel liefert Trojaner aus
Eine weitere Malware tauchte im vergangenen Jahr im Google Play Store auf, also dem of ziellen Marktplatz für Android-Apps, und gab sich als ein Spiel mit dem Namen Jewels Star Classic aus. Die Namensähnlichkeit mit dem populären und virenfreien Spiel Jewels Star war natürlich kein Zufall. Nach dem Download und der Installation der Software war 20 Minuten lang erst einmal kein verdächtiges Verhalten zu beobachten, die App bot sogar tatsächlich ein funktionierendes Spiel an. Dann jedoch erschien eine Meldung, die den Benutzer aufforderte, einen Google Service zu aktivieren. Sie ließ sich nur durch Antippen von
OK wieder schließen. Das löste einen Installationsprozess aus, der zur Folge hatte, dass Google Service unter Einstellungen/Bedienungshilfen auftauchte. Zunächst war die Funktion jedoch noch ausgeschaltet. Sobald der Benutzer sie aktivierte, forderte sie mehrere Zu- griffsrechte an. Wurden ihr diese gewährt, sperrte die Malware unter dem Vorwand, es müsse ein Update eingerichtet werden, plötzlich den Bildschirm und nahm nun im Hintergrund verschiedene Änderungen an der Systemkon guration vor. Sie erlaubte die Installation von Apps aus unbekannten Quellen, startete einen Banking-Trojaner, gab ihm Administrator-Berechtigungen, richtete das Programm als die StandardApp für SMS ein und gab ihr das Recht, im Vordergrund zu agieren. Erst nachdem diese Vorarbeiten abgeschlossen waren, kam der eigentliche Banking-Trojaner zum Zuge. Sobald der Anwender auf seinem Android-Gerät die App des Google Play Store aufrief, poppte ein Formular auf, das nach der Eingabe der Kreditkartennummer verlangte. Danach hatte die Malware freien Zugriff auf das Konto. Da sich die App zudem als Standard für die SMS-Kommunikation eingetragen hatte, konnte sie auch mühelos eine Zwei-FaktorAuthenti zierung überlisten. Google nahm die App sofort aus dem Play Store, nachdem der Antiviren-Hersteller Dr. Web den Konzern auf den bösartigen Charakter hingewiesen hatte. Wie viele Anwender Jewels Star Classic zuvor heruntergeladen und installiert hatten, wurde nicht veröffentlicht.
Vorsichtsmaßnahmen
Die meisten der in diesem Artikel beschriebenen Tricks basieren auf gefälschten Installations-Prozeduren, daher sollten Sie an dieser Stelle besonders achtsam sein. Behalten Sie immer im Hinterkopf, dass Browser- und System-Updates niemals von Websites gemeldet oder ausgelöst werden, sondern immer nur von Anwendungen beziehungsweise Betriebssystemen. Was die Of ce-Programme angeht, so hat Microsoft dort mehrere wirksame Sicherheitsmechanismen eingebaut wie etwa einen Schutz vor bösartigen Makros. Word & Co. fragen immer nach, bevor sie ein solches Programm in einem Dokument ausführen. Nehmen Sie diese Anfragen ernst und seien Sie beim Umgang mit fremden Dokumenten eher vorsichtig. Verzichten Sie lieber einmal zu viel auf eine Makro-Funktion, als dass Sie sich einen Virus einfangen. Bei Apps für Android und Apple iOS sollten Sie darauf achten, dass Sie sie ausschließlich aus den of ziellen Stores beziehen. Falls ein Programm verdächtig erscheint, sehen Sie sich die Download-Zahlen an. whs