Open Source im professionellen Einsatz

SambaCry-Trojaner schürft Kryptowährung

13.06.2017

Der russische Sicherheitsanbieter Kaspersky Lab berichtet von einem auf SambaCry aufbauenden Trojaner, der über eine inzwischen gepatchte Lücke in Samba auf Linux-Server eindringt.

183

Dort richtet der Trojaner anders als mancher seiner Artgenossen keine Verwüstungen an, sondern versucht mit der Rechenpower des Servers die Kryptowährung XMR zu schürfen. Kaspersky hat den Schadcode in einer seiner Honeypots entdeckt und kann keine Angaben über die Trageite des Angriffs machen. Der Angriff erfolgt über ein modifiziertes Samba-Plugin, das den Schadcode enthält. Zuvor prüfen die Angreifer, ob der Server für die Samba-Lücke anfällig ist, indem sie eine Textdatei mit zufälligen Zeichen auf den Server schreiben. Gelingt dies, folgt der Schadcode und anschließend der Versuch, via Brutforce den Pfad zu dieser Datei zu erraten. Ist dies geschaft beginnt das Spurenverwischen und der Trojaner arbeitet dann nur noch im Speicher.

Erraten des Pfads zur abgelegten Datei mit Brutforce-Methoen. Quelle Kaspersky

Kaspersky hat eine ausführliche Analyse veröffentlicht. Die Angreifer könnten durch diese Methode bislang rund 98 XMR geschürft haben. Waren es anfangs noch ein XMR pro Tag, sind es laut Kaspersky nun fünf pro Tag, was auf eine Ausweitung hinweist. Ein XMR hat derzeit einen ungefähren Wert von 55 US-Dollar.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.