Cyber-Kriminelle

Trojaner auf digitalem Beutezug nach Bitcoins

Mit immer neuen Höhenflügen macht die Krypto-Währung Bitcoin auf sich aufmerksam. Doch der hohe Kurs dieser und anderer virtueller Währungen lockt nicht nur potenzielle Käufer der digitalen Münzen an, sondern auch reichlich Kriminelle.
Von Jan Rähm

Hacker sind zunehmend scharf auf Kryptowährungen Hacker sind zunehmend scharf auf Kryptowährungen
Bild: dpa Heute wurde ein Schädling bekannt, der es speziell auf die digitalen Geldbörsen der Krypto-Währungen abgesehen hat. Außerdem erlebt der Rechenzeitklau zum Schürfen digitaler Währungen ein neues Hoch.

Digitale Währungen basieren auf kryptografischen Verfahren und sind rein virtuelle Wertanlagen. Egal ob sie Bitcoin, Ethereum, Zcash, Dash oder Monero heißen: Gemein ist ihnen, dass sie in jüngster Zeit massiv an Wert gewonnen haben. Damit lohnen sich vermehrt Angriffe auf Besitzer der Krypto-Währungen. Die jüngste bekannt gewordene Methode, an die virtuelle Wertanlage zu kommen, haben die Sicherheitsforscher der Kaspersky Labs entdeckt. Sie identifizierten eine Schadsoftware namens "CryptoShuffler", die Kryptowährungen aus Wallets entwendet, indem sie die Wallet-Adresse durch eine eigene ersetzt. Wallets sind so etwas wie eine "digitale Geldbörse", in der die digitalen Währungen gesichert werden.

Wallet-Adresse in der Zwischenablage wird geändert

Hacker sind zunehmend scharf auf Kryptowährungen Hacker sind zunehmend scharf auf Kryptowährungen
Bild: dpa CryptoShuffler gehört zur Schädlingsgattung der Trojaner und geht so vor, dass er die Adressen der Wallets in der Zwischenablage des infizierten Gerätes ändert. Solche sogenannten Hijacking-Attacken auf Clipboards sind laut einer Kaspersky-Meldung bereits seit Jahren bekannt und zielen vorrangig auf Online-Bezahlsysteme ab.

Den Prozess des Wallet-Klaus beschreiben die Forscher wie folgt. Nach der Installation beginnt CryptoShuffler mit der Überwachung des bei der Zahlung verwendeten Clipboards. Dabei werden die Nummern der Wallets kopiert und in die Zeile "Zieladresse" der Software eingefügt, die zur Ausführung einer Transaktion verwendet wird. Der Trojaner ersetzt dabei die Wallet des Nutzers durch eine eigene: Wenn der Nutzer die Wallet-ID in die Zieladressenzeile einfügt, ist dies nicht die Adresse, an die ursprünglich Geld gesendet werden sollte; das Opfer sendet damit das Geld direkt an die Cyber-Kriminellen. Der Austausch im Clipboard findet aufgrund einer einfachen Suche nach Wallet-Adressen sofort statt: Der Großteil der Wallets hat eine feste Position in der Transaktionszeile und verwendet immer eine bestimmte Anzahl von Zeichen. Auf diese Weise können Eindringlinge problemlos reguläre Codes erstellen, um sie zu ersetzen.

Betroffen durch den Angriff durch CryptoShuffler seien aktuell vor allem Bitcoin-Besitzer. Kaspersky schätzt die Schadensumme durch den Trojaner bisher auf rund 140 000 US-Dollar. Jedoch ist Bitcoin bei weitem nicht die einzige Währung, an der sich Cyber-Kriminelle versuchen. In den vergangenen Wochen wurden zahlreiche Fälle bekannt, bei denen die Kriminellen versuchten, sich beim Schürfen der digitalen Währungen, dem sogenannten Mining, "helfen" zu lassen.

Kriminelle klauen sogar Rechenzeit

So veröffentlichte das Sicherheitsunternehmen ESET einen Fall von untergeschobenem Krypto-Mining. Die Kriminellen lagern das Schürfen gern aus, da es extrem rechenintensiv ist und hohe Mengen an Energie verschlingt. Das Vorgehen an sich ist nicht neu, scheint jedoch zur Zeit ein Revival zu erleben.

Bei "Rechenzeitklau" für das Mining werden spezielle Module, meist JavaScript-Module, in einer Website versteckt. Wird diese dann aufgerufen, verarbeitet der Rechner des Opfers die Skripte und wird unfreiwillig Teil eines Rechennetzwerks, dass virtuelle Münzen einer Krypto-Währung erzeugt. Dabei wird keine Software auf dem Rechner des Opfers installiert, sondern die Rechenzeit direkt via Webbrowser gestohlen.

Die Verbreitung der entsprechenden Skripte erfolgt teilweise über sogenanntes Malvertising. Sie werden also in Online-Werbung versteckt. Gern genutzt werden auch Webseiten für Videostreaming und Browsergames. Beiden gemein ist, dass die Nutzer vergleichsweise lange auf solchen Webseiten verweilen und die Skripte entsprechend lange ausgeführt werden. ESET-Forscher sagen, die Methode sei zwar verglichen mit regulärer Mining-Software etwas ineffizienter, da sie 1,5 bis 2 Mal langsamer ist – das werde allerdings durch die höhere Zahl betroffener Nutzer wieder ausgeglichen.

Krypto-Mining über in Webseiten eingebetteten Code sei äußerst effizient, erklärt Matthieu Faou, Malware Researcher bei ESET: "Es ist viel einfacher, eine signifikante Zahl von Opfern über infizierte Webseiten zu erreichen, anstatt ihre Geräte gezielt anzugreifen." Im von ESET entdeckten Fall banden die Angreifer ihre Skripte in Webseiten mit hohen Besucherzahlen ein, die meisten davon in Russland, der Ukraine, Weißrussland, Moldawien und Kasachstan. Die Opfer benötigen lediglich einen Internet-Browser mit aktiviertem JavaScript, welches fast immer standardmäßig voreingestellt ist.

Aufmerksamkeit zahlt sich aus

Ein weiterer Fall des Schürfens von Krypto-Währungen mithilfe fremder Rechner war Mitte September bekannt geworden. Die populäre Tauschbörse "The Pirate Bay" ließ seine Nutzer per in JavaScript eingebetteten Code nach Coins der Währung Monero schürfen. Allerdings fiel das "alternative" Geschäftsmodell einigen Nutzern durch sehr hohe Prozessorauslastung auf. Sie kritisierten das Vorgehen in Online-Foren. Die Betreiber der Plattform bestätigten, dass sie in der Tat mit dem Krypto-Mining eine neue Form der Finanzierung testen wollten.

Die Sicherheitsforscher von ESET betonen: Selbst wenn JavaScript Miner als Alternative zu herkömmlichen Werbeanzeigen gesehen werden könnten, würden sie dennoch keine sinnvollen Inhalte für die User bereitstellen und seien daher als ungewollte Programme anzusehen. Einige Regulierungsbehörden, so ESET, würden das Schürfen von Krypto-Währungen ohne Einverständnis des Users mit einem unberechtigten Zugriff auf seine Geräte gleichstellen. Folglich sollten die Entwickler solcher Services das Verhalten ausführlich deklarieren, bevor wirklich Krypto-Währung geschürft werden darf. Bei der Verbreitung durch Malvertising, also der Verteilung über Werbeeinblendungen auf Webseiten, sei dies eindeutig nicht der Fall.

"Kryptowährungen sind keine ferne Technologie mehr", erklärt Sergey Yunakovsky, Malware-Analyst bei Kaspersky Lab, "Sie halten Einzug in unser Leben und verbreiten sich auf der ganzen Welt – und werden so für Nutzer zugänglicher und für Kriminelle attraktiver. Seit einiger Zeit sehen wir eine Zunahme von Malware-Angriffen, die auf verschiedene Arten von Kryptowährungen abzielen. Wir erwarten, dass sich dieser Trend fortsetzen wird. Nutzer, die zu diesem Zeitpunkt Investitionen in Kryptowährungen in Erwägung ziehen, sollten sich daher Gedanken darüber machen, ob sie entsprechend geschützt sind." Und auch normale Anwender sollten aufmerksam sein. Kaspersky zufolge steige die Gefahr, Opfer eines heimlich installierten Kryptowährungs-Miner zu werden. Waren im Jahr 2013 lediglich 205 000 Nutzer betroffen, habe die Anzahl der betroffenen User im Jahr 2014 bereits bei 701 000 gelegen. Allein in den ersten acht Monaten dieses Jahres sei die Zahl der attackierten Nutzer auf 1,65 Millionen weltweit angewachsen.

Mehr zum Thema Sicherheit