Botnet nutzt YouTube zur Gewinnung von Monero
Ein Botnet, das sich bisher auf Klickbetrug konzentriert hat, hat sich nun dem Kryptowährungsmining zugewandt. Der Bot, der als Stantinko bekannt ist, ist seit 2012 aktiv, hat aber letztes Jahr mit dem Abbau von Krypto begonnen. Um eine Erkennung zu vermeiden, hat Stantinko Proxies verwendet, deren IP-Adressen auf YouTube veröffentlicht werden.
Sicherheitsforscher des Cybersicherheitsunternehmens ESET entdeckten das Botnetz bereits vor Jahren. Damals wurden jedoch Klickbetrug, Social Network Fraud und Ad Injection durchgeführt, um den Cyberkriminellen Geld zu verdienen. Es würde auch Passwörter von seinen Opfern stehlen. Das Unternehmen Bitcoin Revolution möchte davon Abstand nehmen. Seit mindestens August 2018 hat sich das Botnet jedoch dem Krypto-Mining verschrieben, wie die Forscher in einem aktuellen Bericht offenbarten. Sein Krypto-Mining-Modul ist eine modifizierte Version von xmr-stak, einem Open-Source-Monero-Miner. Die Kriminellen haben die meisten Funktionen des Bergarbeiters zerstört, um der Aufdeckung zu entgehen. Die Sicherheitssoftware erkennt die Malware als Win{32,64}/CoinMiner.Stantinko.
Sein prägendster Charakter ist jedoch die Verwendung von YouTube, um der Erkennung zu entgehen. CoinMiner.Stantinko kommuniziert nicht direkt mit seinem Minenpool. Stattdessen werden Proxies verwendet, deren IP-Adressen aus dem Beschreibungstext von YouTube-Videos ermittelt werden.
ESET-Sicherheitsexperten informierten
ESET-Sicherheitsexperten informierten YouTube über den Missbrauch und die Firma nahm alle Kanäle mit diesen Videos auf.
Um die Effektivität zu erhöhen, zählt Stantinko alle laufenden Prozesse im infizierten Host auf, und wenn andere Krypto-Miner gefunden werden, werden sie heruntergefahren. Zum Glück ist Bitcoin Revolution nicht davon betroffen. Das Botnet hat auch einige Maßnahmen getroffen, die die Erkennung durch den Host verhindern sollen. Zum einen stoppt es alle Mining-Vorgänge, sobald eine Task-Manager-Anwendung gestartet wird. Der Bericht enthüllte weiter:
„CoinMiner.Stantinko unterbricht den Abbau vorübergehend, wenn es feststellt, dass keine Stromversorgung an die Maschine angeschlossen ist. Diese Maßnahme, die sich offensichtlich an tragbare Computer richtet, verhindert eine schnelle Entleerung der Batterie…. was den Verdacht des Benutzers wecken könnte.“
Während die Kriminellen jeden Schritt unternommen haben, um CoinMiner.Stantinko zu verbergen, ist es beim Hashing-Algorithmus anders. Der Bericht erklärte: „Im Gegensatz zum Rest von CoinMiner.Stantinko wird der Hash-Algorithmus nicht verschleiert, da die Verschleierung die Geschwindigkeit der Hash-Berechnung und damit die Gesamtleistung und Rentabilität erheblich beeinträchtigen würde. Dennoch achteten die Autoren darauf, keine sinnvollen Zeichenketten oder Artefakte zurückzulassen.“
Die Forscher glauben, dass Stantinko weltweit über 500.000 Computer infiziert hat. Hauptziele sind jedoch Maschinen in der Ukraine, Russland, Kasachstan und Belarus.