Die Cybersicherheitsfirma Trustwave hat auf der Make-A-Wish Foundation Webseite eine kryptografische Malware entdeckt. Die Make-A-Wish Foundation ist eine gemeinnützige Organisation mit Sitz in den Vereinigten Staaten, die Kindern mit schweren Krankheiten spezielle Wünsche erfüllt.
Laut dem Bericht des Trustwave-Forschers Simon Kenin haben Hacker einen JavaScript (JS) Miner in die Domain worldwish.org eingefügt, um damit die Kryptowährung Monero (XMR) zu minen. Der Bericht beschreibt weiter, dass es viele Domains gibt, die “.org” & “.gov” Erweiterungen haben und täglich mit Cryptojacking-Malware infiziert werden.
Trustwave entdeckt Cryptojacking Malware. Bildquelle: Trustwave
Simon Kenin veröffentlichte ein Statement, dass
Es ist tatsächlich so, dass die Webseite der Make-A-Wish-Foundation kompromittiert worden ist. In die Webseite war ein Skript eingebettet, das die Rechenleistung der Besucher der Seite nutzte, um Kryptowährung zu minen. Dabei war ein Wallet der Cyberkriminellen hinterlegt, damit ihr “Wunsch”, reich zu sein, “wahr” wurde. Es ist immer eine Schande, wenn Kriminelle jemanden ins Visier nehmen, aber kurz vor der Weihnachtszeit eine Wohltätigkeitsorganisation ins Visier nehmen? Das ist wirklich schäbig.
Der Bericht führte weiter aus, dass die Domain drupalupdates.tk verwendet wurde, um das Mining-Skript zu injizieren. Sie ist ein Teil bereits bekannter Seiten, die Drupalgeddon 2 seit Mai 2018 missbrauchen. Viele Webseiten Besitzer aktualisieren nie ihre Drupal Version, das erlaubt es Hackern, ihre Webseiten anzugreifen und zu infizieren, um Kryptowährung zu gewinnen.
Trustwave entdeckt Cryptojacking Malware Bildquelle: Trustwave
Drupalgeddon 2 ist nicht die einzige Technik, die Hacker anwenden, um Webseiten mit Cryptojacking-Malware zu infizieren. Das Cryptojacking ist inzwischen so raffiniert entwickelt, dass es manchmal schwierig ist, festzustellen, ob eine Website mit Malware kontaminiert ist oder ob der Mining-Code tatsächlich vom Eigentümer der Webseite hinzugefügt wurde. Heutzutage stellen Hacker in der Blockchainbranche von Ransomware auf Malware um. CoinMiner verwenden den Computer des Opfers, um neue Coins zu minen, indem es ausführbare Benutzerdateien infiziert, Coinhive JavaScript in HTML-Dateien injiziert und die Domänen von Sicherheitsprodukten blockiert, um Signatur-Updates zu stoppen.
Diese Angriffe nutzen verschiedene Methoden, um statische Erkennungsroutinen zu umgehen: Es beginnt mit der Änderung des Domainnamens, den der JavaScript Miner verwendet, der selbst getarnt ist. Der WebSocket-Proxy verwendet auch unterschiedliche Domains und IPs, die zu veralteten Blacklists der Virenprogramme führen.
Der Bericht erklärte weiter, dass Trustwave versuchte, Make-A-Wish zu kontaktieren, um den Kryptojacking- Angriff zu melden, aber die Stiftung nicht antwortete. Malware ist der am häufigsten verwendete Vektor bei Angriffen. Tausende von Webseiten weltweit sind Opfer einer Kryptojacking Malware geworden, die die Computer ihrer Besucher dazu bringt, Krypto-Währung zu minen, ohne dass das beim Surfen auf der Website erkennbar ist.
Was kann man tun?
Trustwave Holdings ist ein Informationssicherheitsunternehmen, das Dienste für Bedrohungs-, Schwachstellen- und Compliance-Management anbietet. Es hat auch einige Hinweise veröffentlicht wie dagegen vorgegangen werden kann, wie z.B.:
Bei einem Kryptojacking-Angriff wird der Krypto-Currency-Mining-Code ohne Genehmigung auf ein Framework oder System übertragen. Mining ist der Berechnungsprozess, der durchgeführt wird, um Coins herzustellen oder zu finden. In letzter Zeit wurden einige Kryptojacking Angriffe beobachtet, darunter ein substanzieller Angriff auf YouTube und zusätzlich Angriffe auf ungeschützte SSH- und Oracle WebLogic-Server. Hacker versuchen dabei vom steigenden Wert der Krypto Währungen zu profitieren.
Erst vor wenigen Tagen hatten Forscher der Fudan University, der Tsinghua University und der University of California Riverside die erste systematische Studie über Kryptojacking in der realen Welt mit dem Titel “How You Get Shot in the Back” veröffentlicht. Diese Studie hatte gezeigt, dass die Komplexität des bösartigen Mining von Kryptowährungen zunimmt. Kryptojacking ist eine Art Cyberangriff, bei dem ein Angreifer die Rechenleistung seines Ziels nutzt, um im Namen des Angreifers Krypto-Währung zu gewinnen.
In dieser Studie fanden Forscher 2.770 ungewöhnliche Cryptojacking Beispiele von 853.936 beliebten Webseiten, darunter 868 unter den Top 100.000 in der Alexa-Liste. Durch die Verwendung dieser Beispiele erhielten sie ein klareres Bild der Angriffe, einschließlich ihrer Auswirkungen, Verteilungsmechanismen, Verschleierung und Versuche, die Erkennung zu umgehen. Sie fanden ferner heraus, dass nur eine kleine Menge von Unternehmen von dieser Aktivität profitieren, da die Wallet IDs einzigartig sind. Nicht nur das, um unter dem Radar zu bleiben, aktualisieren sie auch laufend ihre Angriffsdomänen.
Außerdem hat das Cybersicherheitsunternehmen McAfee bekannt gegeben, dass Coin Miner Malware im ersten Quartal 2018 um 629% auf mehr als 2,9 Millionen bekannte Treffer anstieg, gegenüber fast 400.000 gefundenen Treffern im vierten Quartal 2017.
Kryptowährungen kannst du auf Binance*, Coinbase* oder eToro* kaufen. Hier geht es zu unserem ->Starterkit.
Verpass keine wichtigen Nachrichten mehr!
Folge uns auf Twitter, Instagram, Facebook, Steemit und tritt unserem Telegram News Kanal oder Newsletter bei.
Du würdest diesen Artikel gerne kommentieren? Dann tritt einfach unserer Telegram Diskussions-Gruppe bei.
Dieser Artikel wurde vom Englischen ins Deutsche übertragen von:
Christian Rehm
Senior IT Consultant und Crypto Enthusiast immer auf der Suche nach interessanten Neuigkeiten.
*Die mit Sternchen (*) gekennzeichneten Links sind sogenannte Affiliate-Links. Wenn du über diesen Link etwas kaufst, bekommen wir eine Provision vom Händler. Der Preis verändert sich dabei für dich nicht.