Ein aktueller Trojaner bedient sich der DOUBLEPULSAR-Hintertür der NSA um ungeschützte Windows-Rechner anzugreifen und heimlich die Kryptowährung Monero (XMR) zu schürfen. Dabei handelt es sich um eine neue Form des sogenannten Cryptojacking, bei dem die Rechenleistung von infizierten Computern für das Mining von Kryptowährungen genutzt wird. Russische Sicherheitsforscher von Dr. Hemming haben den Trojaner entdeckt und warnen vor weiteren Angriffen.
Das erinnert stark an einen vor kurzem aufgetauchten Linux-Trojaner der ähnliches mit File-Servern veranstaltet. Betroffen sind Windows-Systeme die SMB1 aktiviert haben ? bisher ist das ein Großteil der Installationen ? und die den von Microsoft verteilten Patch zum Abdichten der Lücke nicht installiert haben.
Haben die Angreifer es geschafft, einen Rechner über die NSA-Hintertür zu übernehmen, prüfen sie als erstes, ebenso wie viele CPU-Threads zur Verfügung stehen. Hat der Rechner genug Ressourcen » installieren sie einen Trojaner « der zum verdeckten Schürfen von Kryptowährungen entwickelt wurde. Momentan wird bei solchen Angriffen oft Monero geschürft, da sich bei dieser Währung das CPU-Mining noch einigermaßen lohnt. Der Trojaner funktioniert auf 32- und 64-Bit-Versionen von Windows.
Um sich zu schützen sollte man als erstes einmal alle Windows-Updates so früh wie möglich installieren. Auch das Abschalten von SMB1 kann nicht schaden, außer man hat wirklich noch Anwendungen die diese spezifische Version des Dateiaustauschprotokolls benötigen. Wie man SMB1 in Windows permanent abklemmt, erklärte Microsoft wegen der WannaCry-Gefahr vor kurzem erst in einem Blogbeitrag.
Kommentare