Cryptojacking ist eine wachsende Bedrohung

Das Windows-Betriebssystem und andere Anwendungen sind auf DLL-Dateien angewiesen, die Funktionen bereitstellen oder erweitern. Sobald eine Anwendung Funktionalität in einer bestimmten DLL benötigt, sucht sie diese in der vordefinierten Reihenfolge, zuerst im Verzeichnis, aus dem die Anwendung geladen wurde, dann im Systemverzeichnis, im 16-Bit-Systemverzeichnis, im Windows-Verzeichnis . Directory, in das aktuell verwendete Verzeichnis und neuerdings in die Verzeichnisse, die in der Umgebungsvariable Path aufgeführt sind. Wenn der vollständige Pfad der erforderlichen DLL-Dateien nicht angegeben ist, versucht die Anwendung, die Datei im angegebenen Pfad zu finden. Wenn Hacker eine bösartige DLL in den Suchpfad implementiert haben, wird diese stillschweigend geladen und anstelle der Anwendung ausgeführt, die sie tatsächlich benötigt.

Das Herunterladen bösartiger DLLs ist möglich

Bei dem vom Anbieter analysierten Angriff schreiben die Angreifer eine gefälschte secure32.dll ohne besondere Rechte in den Pfad %appdata%\Local\Microsoft\OneDrive\. Die Prozesse OneDrive.exe oder OneDriveStandaloneUpdater.exe laden diese dann. Da %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe jeden Tag ausgeführt werden soll, sind die gefälschten DLL-Dateien jetzt dauerhaft auf dem System des Opfers vorhanden.

Außerdem verankern Angreifer die gefälschte DLL mithilfe von %appdata%\Local\Microsoft\OneDrive\OneDrive.exe im System. Konfigurieren Sie OneDrive.exe so, dass es bei jedem Neustart mit der Windows-Registrierung gestartet wird. Nach dem Laden der gefälschten secure32.dll durch diese OneDrive-Prozesse lädt sie die Cryptomining-Software neu und infiziert legitime Windows-Prozesse. Ebenso könnten Angreifer auch Ransomware oder Spyware auf Systemen installieren.

In der Cryptomining-Kampagne verbreiten Hacker Algorithmen, um vier Kryptowährungen zu schürfen: Etchasch im Besonderen sowie Ethash, Ton und Xmr. Im Durchschnitt erzielen Cyberkriminelle einen Gewinn von 13 US-Dollar pro infiziertem Computer. Opfer bemerken Verluste in der Systemleistung.

Benutzer können OneDrive „pro Benutzer“ oder „pro Computer“ installieren. Die Standardeinstellung ist die Installation „pro Benutzer“. In dieser Einstellung können Benutzer ohne besondere Berechtigungen in den Ordner schreiben, in dem sich OneDrive befindet. Hacker können hier Malware ablegen, ausführbare Dateien modifizieren oder komplett überschreiben. Daher wird empfohlen, OneDrive „pro Maschine“ zu installieren. Anweisungen finden Sie unter: https://learn.microsoft.com/en-us/onedrive/per-machine-installation

Weitere Vorsichtsmaßnahmen sind erforderlich

Die Installation „pro Computer“ ist jedoch nicht für alle Umgebungen oder für alle Berechtigungsstufen geeignet. Daher mahnt der Anbieter Nutzer zu großer Vorsicht. Sowohl der Virenschutz als auch das verwendete Betriebssystem sollten immer auf dem neuesten Stand sein.

Bildquelle: Getty Images / iStock / Getty Images Plus

Leave a Comment

Your email address will not be published. Required fields are marked *