Über 50 Webseiten bieten einen manipulierten MSI Afterburner an. Dieser lädt nicht nur einen XMR-Miner nach, sondern raubt auch Zugangsdaten.
Sicherheitsforscher haben eine manipulierte Version des unter Gamern sehr beliebten Tools MSI Afterburner entdeckt, mit denen Angreifer nicht nur den Infostealer RedLine auf den Rechnern ihrer Opfer verteilen, sondern auch einen Miner für die Kryptowährung XMR. Da bisher wenige Antiviren-Programme die Schadsoftware erkennen, sollten Anwender wachsam bleiben.
Für viele Gamer ein unverzichtbares Tool: der MSI Afterburner
Nicht umsonst ist der MSI Afterburner sehr beliebt unter Gamern. Denn dieses nützliche Tool erlaubt es dem Anwender mitunter seinen Grafikprozessor zu übertakten, zu undervolten und das Verhalten des Lüfters seiner Grafikkarte zu beeinflussen. Und auch eine Überwachungssoftware für Temperaturen, Taktraten und die Auslastung von CPU und GPU liefert das Tool gleich mit.
Wer also seinen Gaming-PC auf maximale Leistung, minimalen Stromverbrauch oder eine geringe Geräuschkulisse trimmen möchte, kommt kaum an diesem Programm vorbei. Und auch wenn der Name anderes vermuten lässt, unterstützt das Tool weit mehr als nur MSI-Grafikkarten. Kein Wunder also, dass weltweit Millionen von Spielern darauf zurückgreifen.
Doch damit sind die Benutzer des MSI Afterburner auch eine interessante Zielgruppe für Angreifer. Denn viele Anwender dieses Tools verfügen über leistungsstarke PC-Hardware, die sich besonders gut für das Mining von Kryptowährungen missbrauchen lässt.
Mehr als 50 gefälschte Webseiten verteilen manipuliertes GPU-Tool
Sicherheitsforscher von Cyble entdeckten in den letzten drei Monaten mehr als 50 Webseiten, die einen gefälschten MSI Afterburner anbieten. Darüber schleusen Angreifer einen Monero-Miner (XMR) zusammen mit einem Infostealer in die Systeme zahlreicher Gamer ein.
Einige der Webseiten erscheinen optisch wie eine Kopie der Download-Seite des echten MSI Afterburner. Andere hingegen zeigen gar keine Ähnlichkeit zum Original. Offenbar versuchen die böswilligen Akteure ihre Fälschung mit unterschiedlichen Taktiken zu verbreiten.
Grundsätzlich ist in den angebotenen Setup-Dateien immer auch der echte MSI Afterburner enthalten. Dadurch erfüllt das Tool die Erwartungen der Anwender und kann im Hintergrund unbemerkt weitere Aktionen starten.
Monero-Miner agiert dezent im Hintergrund
Den XMR-Miner ruft eine auf Python basierende „browser_assistant.exe“ aus einem GitHub-Repository ab. Sie injiziert den Miner direkt in den Speicher des Prozesses der explorer.exe, um unentdeckt zu bleiben und gar nicht erst auf der Festplatte zu landen. Anschließend verbindet sich die Software mit im Quellcode hinterlegten Zugangsdaten zum Mining-Pool der Angreifer.
Damit die Aktivität des im MSI Afterburner enthaltenen Miners nicht auffällt, beginnt dieser erst nach einer Leerlaufzeit der CPU von 60 Minuten mit dem Schürfen von Monero. Damit ist die Wahrscheinlichkeit groß, dass der Rechner während des Minings unbeaufsichtigt ist.
Um einem Kampf um Systemressourcen vorzubeugen und zugleich von Antiviren-Tools oder Überwachungsprogrammen unentdeckt zu bleiben, lässt sich der XMR-Miner durch einen speziellen Aufrufparameter automatisch abschalten, sobald der Anwender bestimmte Programme startet. Dabei erfolgt ebenso eine Bereinigung des GPU-Speichers.
Nur wenige Antiviren-Programme erkennen den manipulierten MSI Afterburner
Während der Miner für die Angreifer fleißig XMR schürft, sammelt der ebenfalls enthaltene Infostealer RedLine im Hintergrund Daten. Egal ob Passwörter, Cookies, Browserdaten oder Krypto-Wallets. Diese Malware, die auch schon Kunden von 2K Games plagte, nimmt alles mit.
Die Erkennung des manipulierten MSI Afterburner durch Antiviren-Programme ist laut BleepingComputer bisher unzureichend. Nur drei von 58 Sicherheitsprodukten erkennen die gefälschte Setup-Datei. Die „browser_assistant.exe“ erkennen lediglich vier von 72.
Gamer, die sich vor einem Angriff schützen wollen, sollten stets darauf achten, den MSI Afterburner ausschließlich von der Webseite von MSI herunterzuladen.
