Wouter Hoeffnagel - 21 december 2017

Malware voor minen cryptovaluta wordt verspreid via illegale software

Cybercriminelen verspreiden via illegale gepirateerde software – bijvoorbeeld tekstverwerkings- of fotobewerkingsprogramma’s – ongemerkt mining-software, die zich op systemen van slachtoffers nestelt. De geïnfecteerde pc’s worden vervolgens ingezet voor het creëren van cryptovaluta, waarbij alle opbrengsten rechtstreeks naar de betrokken criminelen gaan. Doordat rekenkracht wordt ingezet voor het minen van cryptovaluta, krijgen gebruikers te maken met verminderde prestaties van hun systemen. Daarnaast worden geïnfecteerde systemen zwaar belast en verbruiken zij veel energie. Indien meerdere systemen van een bedrijf worden geïnfecteerd met de malware, kan dit dan ook een forse impact hebben op de energierekening.  

De nieuwe werkwijze is ontdekt door onderzoekers van Kaspersky Lab. Nu de cryptocurrency-markt gestaag in omvang en waarde blijft groeien, houden ook steeds meer criminelen de ontwikkeling scherp in de gaten. Het feit dat zo veel mensen meegaan in deze rage speelt de criminelen in de kaart: het betreft hier doorgaans geen individuen met speciale IT-vaardigheden, waardoor er makkelijker kan worden valsgespeeld. Zo noemt het jaarlijkse Kaspersky Security Bulletin cryptocurrency-mining als één van de belangrijkste trends van 2017. Dit werd vorig jaar al voorspeld door onderzoekers van Kaspersky Lab, die in het kader van de groeiende populariteit van Zcash een comeback van mining-software signaleerden. Slechts een jaar later zijn de miners overal. Criminelen gebruiken verschillende tools en technieken om zo veel mogelijk pc’s te infecteren.

Zo hebben experts van Kaspersky Lab hebben onlangs verschillende vergelijkbare websites ontdekt die mogelijkheden bieden tot het downloaden van illegaal gekopieerde populaire computerprogramma's en applicaties. Om vertrouwen te wekken, gebruiken de criminelen domeinnamen die veel op de originele adressen lijken. Na het downloaden van de software ontvangt de gebruiker een archief dat ook een mining-programma bevat. Dit wordt vervolgens, tegelijk met de gedownloade software, automatisch geïnstalleerd.

Miningpool

Het installatiearchief bevat tekstbestanden met initialisatie-informatie, te weten wallet- en miningpool-adressen. Een miningpool is een server die verschillende deelnemers met elkaar verbindt en de mining-taak over de computers verdeelt. In ruil hiervoor ontvangen ze hun aandeel in de geminede cryptovaluta veel sneller dan wanneer ze het met hun eigen pc zouden doen. Vanwege de specifieke architectuur is het minen van bitcoins en andere cryptovaluta een zeer zware en tijdrovende operatie, dus dergelijke pools verhogen de productiviteit en de snelheid van het genereren van cryptovaluta aanzienlijk.

Na de installatie beginnen de miners onopvallend met de uitvoering van hun taak op de pc van het slachtoffer: het genereren van cryptomunten voor criminelen. Volgens onderzoek van Kaspersky Lab wordt in alle gevallen gebruikgemaakt van de NiceHash-projectsoftware die onlangs werd getroffen door een omvangrijk beveiligingslek, resulterend in de diefstal van miljoenen dollars aan cryptovaluta. Sommigen van de slachtoffers waren verbonden met een miningpool met dezelfde naam.

Daarnaast hebben deskundigen vastgesteld dat sommige miners beschikken over een speciale functie die de gebruiker in staat stelt op afstand een walletnummer, pool of miner aan te passen. Dit houdt in dat criminelen op ieder gewenst moment de bestemming van de cryptovaluta kunnen wijzigen en op die manier hun opbrengsten kunnen beheren door de mining-stromen over verschillende wallets te verspreiden, of zelfs de geïnfecteerde computer voor een andere miningpool te laten werken.

Lagere prestaties en hogere energiekosten

"Hoewel het niet als kwaadaardig wordt aangemerkt, beïnvloedt mining-software de prestaties van een computer negatief, wat onvermijdelijk effect heeft op de algehele gebruikerservaring”, zegt Alexander Kolesnikov, malware-analist bij Kaspersky Lab. “Daarbij levert het een hogere energierekening op, wat natuurlijk niet het allerergste is, maar wel vervelend. Sommige mensen vinden het misschien prima dat anonieme individuen over hún rug rijker worden, maar we adviseren gebruikers toch om weerstand te bieden tegen dergelijke praktijken. Er wordt dan misschien geen typische kwaadaardige software gebruikt, maar het is nog steeds fraude.”

Kaspersky Lab adviseert gebruikers alleen legale software van beproefde bronnen te downloaden en daarnaast een betrouwbare beveiligingsoplossing in te zetten om zich tegen dit soort ongewenste mining-software te verdedigen. Lees meer over het onlangs ontdekte mining-project in de blogpost op Securelist.com. Informatie over meer ontwikkelingen op het gebied van cryptocurrency en cybersecurity zijn te vinden in de KSB Threat Predictions voor 2018 of in deze webinar.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!