Digmine: Infektion mit Monero Mining-Schadsoftware erfolgt über Facebook-Messenger

Artikel von · 25. Dezember 2017 ·

Aktuell ist eine neue Malware namens Digmine in Umlauf. Betrüger können damit die Rechenkapazitäten fremder Computer nutzen, um Monero Mining zu betreiben. Die Weitergabe der Schadsoftware erfolgt über den Facebook-Messenger. Zusätzlich mitinstalliert wird eine bösartige Chrome-Erweiterung, die dessen Verbreitung an neue Opfer unterstützt, berichtet Bleeping Computer.

Facebook-User mehrerer Länder stehen im Mittelpunkt eines Angriffs einer neuen Malware-Variante namens Digmine. Der Monero-Cryptominer wird dabei wurmartig über den Facebook Messenger weitergegeben. Die Opfer erhalten eine Datei namens video_xxxx.zip (wobei xxxx eine vierstellige Zahl ist) per Messenger als private Nachricht zugestellt. Das Archiv des vermeintlichen Videolinks verbirgt allerdings eine manipulierte exe.-Datei. Benutzer, die so unvorsichtig sind, die Datei zu öffnen, werden mit Digmine infiziert.

Digmine ist in AutoIt geschrieben. Die Schadsoftware soll einen Remote Command-and-Control (C & C) Server für Anweisungen kontaktieren. Gemäß Expertenmeinungen würde der C&C-Server derzeit nur den Monero-Miner und eine Chrome-Erweiterung an die Opfer zurückschicken. Einmal im System angekommen, fügt Digminer dann einen registrierungsbasierten Autostart-Mechanismus in Windows hinzu und installiert den Monero Miner und die Chrome-Erweiterung, die er gerade erhalten hat. Die Angreifer nutzen für die Installation der Chrome-Erweiterung einen Trick, der die Befehlszeilenparameter der Chrome-Anwendung verwendet.

Die Erweiterung dient dazu, auf das Facebook Messenger-Profil des Benutzers zuzugreifen und private Nachrichten an alle Kontakte des Opfers zu senden, die dann eine ähnliche video_xxxx.zip enthalten. Der von dieser Chrome-Erweiterung verwendete Selbstausbreitungsmechanismus würde jedoch nur funktionieren, wenn Chrome Nutzer das automatische Login: „Angemeldet bleiben“ bei Facebook aktiviert haben.

Sicherheitsforscher von Trend Micro haben Facebook bereits kontaktiert, um der Schadcode-Verbreitung Einhalt zu gebieten. So konnten die speziellen Links von dem Netzwerk aus dem Messenger entfernt werden, sodass derzeit keine weiteren Infektionen mehr möglich sind. Jedoch kann die Digmine Crew die aktuellen Distributionslinks leicht ändern und dann eine neue Kampagne starten.

Folglich sollte man keine „verdächtigen“ Links im Messenger anklicken, auch wenn sie von Freunden versendet wurden. Die Kampagne schien zuerst auf südkoreanische Benutzer ausgerichtet zu sein, hat sich aber inzwischen auf Vietnam, Aserbaidschan, die Ukraine, Vietnam, die Philippinen, Thailand und Venezuela ausgeweitet. Laut Sicherheitsforschern sind derzeit nur Windows-Benutzer betroffen, keine Linux- oder Mac-Benutzer.

Ein Facebooksprecher äußerte sich zu dem Vorfall. Er verweist Benutzer auf die Hilfeseite von Facebook: „Wir halten eine Reihe automatisierter Systeme bereit, um zu verhindern, dass schädliche Links und Dateien auf Facebook und im Messenger erscheinen. Wenn wir vermuten, dass Ihr Computer mit Malware infiziert ist, stellen wir Ihnen eine kostenlose Antivirensuche von unseren vertrauenswürdigen Partnern zur Verfügung.“

Bildquelle: LoboStudioHamburg, thx! (CC0 Public Domain)

Mehr zu diesem Thema:

4 Kommentare

  • comment-avatar

    mirbekannt

    Also ich kenne Kneipe, Club, Diskothek aber Facebook? Nie gehört. Ist das dieser ominöse Ort wo sich die Leute treffen die keine Freunde haben um so zu tun als ob sie Freunde haben?

  • comment-avatar

    Andreas

    @ohmann
    Gegenfrage: Muss man jedem Trend hinterherrennen und ein reiner Mitläufer sein, oder kannst du nicht mehr ohne Facebook leben und musst du jeden zur jeder Zeit teilhaben lassen was du gerade machst, isst und wo du bist?

    Hast du schon mal darank gedacht, dass es sehr viele Leute gibt, die aus welchen Gründen auch immer Facebook und andere solche Netzwerke nicht nutzen

  • comment-avatar

    Andreas

    Das ist doch wieder ein gutes Beispiel, warum ich Facebook nicht nutze und man das Ding auch nicht nutzen sollte

    • comment-avatar

      ohmann

      Sitzt der Aluhut stramm, ja? Kündige am Besten Strom, Internet und deinen Mobilfunkvertrag.


Schreib einen Kommentar