Versteckte Kryptowährungs-Mining-Kampagne in legitimen Apps entdeckt

Von Lucien Constantin

Ermittler haben eine neue, mehrstufige Malware-Bereitstellungskampagne entdeckt, die auf legitimen Anwendungsinstallationsprogrammen basiert, die über beliebte Software-Downloadseiten vertrieben werden. Die bösartige Nutzlast, die ein Krypto-Mining-Programm enthält, wird in Etappen mit langen Verzögerungen bereitgestellt, die einen Monat erreichen können.

„Nach der Erstinstallation des Programms haben die Angreifer den Infektionsprozess wochenlang hinausgezögert und Spuren der ursprünglichen Installation entfernt“, so die Analysten von Check Point in ihrem Bericht. „Dadurch konnte die Kampagne über Jahre erfolgreich laufen.“

Die Kampagne startete 2019

Nach Angaben des Untersuchungsteams steckt der türkischsprachige Softwareentwickler Nitrokod hinter dem Angriff, der mindestens seit 2019 andauert. Seine Website behauptet, dass er kostenlose Apps erstellt hat, darunter Videokonverter und -player. und Musik mit einer installierten Basis von etwa 500.000 Benutzern.

Einige Nitrokod-Trojaner-Konvertierungsprogramme finden Sie auf Downloadseiten wie Softpedia und Uptodown. Die von Check Point analysierte Anwendung heißt Google Translate Desktop, mit der Sie den Übersetzungsdienst der Suchmaschine nutzen können, der normalerweise nur als Webdienst über einen Browser verfügbar ist.

Tatsächlich wurde diese Anwendung mithilfe des Open-Source-Projekts Chromium Embedded Framework (CEF) erstellt, mit dem Entwickler den Chrome-Browser in ihren Anwendungen implementieren können, um Webinhalte anzuzeigen. Dies ermöglichte es Nitrocode, Anwendungen zu erstellen, die ohne großen Aufwand funktionieren würden. Neben dieser Anwendung vertreibt der Programmierer auch ähnliche Programme wie unter anderem Yandex Translate Desktop, Microsoft Translator Desktop, YouTube Music Desktop und MP3 Download Manager und hat sie in 11 Ländern gebündelt.

Verzögert die Verbreitung von Malware, um eine Erkennung zu vermeiden

Sobald ein Benutzer die App herunterlädt und installiert, werden bösartige Payloads nicht sofort bereitgestellt, was eine Strategie ist, um eine Erkennung zu vermeiden. Bis zum letzten Punkt ist die Installation ungewöhnlich im Hinblick darauf, wie sich eine legitime Anwendung verhält: das Sammeln einiger Systemdaten zu statistischen Zwecken und das Ausführen einer scheinbar automatischen Update-Komponente. Nach fast vier Systemneustarts an vier verschiedenen Tagen entlädt Update.exe jedoch eine andere Komponente namens chainlink1.07.exe und führt sie aus. Das Verzögern der Bereitstellung und Aufforderung zu mehreren Neustarts ist wahrscheinlich ein Versuch, die Parsing-Systeme des AP zu umgehen, die das Verhalten der Anwendung nicht über mehrere Neustarts hinweg testen.

stager chainlink1.07.exe erstellt vier verschiedene geplante Tasks, die mit unterschiedlichen Verzögerungen ausgeführt werden. Einer von ihnen, der alle drei Tage ausgeführt wird, verwendet PowerShell, um Systemprotokolle zu löschen. Es ist geplant, alle 15 Tage eine weitere Datei auszuführen und eine weitere RAR-Datei von einer anderen Domäne herunterzuladen, die absichtlich den irreführenden Intelservice-Update-Namen verwendet. Ein dritter geplanter Job wird alle zwei Tage ausgeführt und ist so konfiguriert, dass er die RAR-Datei dekomprimiert, falls vorhanden, und ein vierter Job wird alle zwei Tage ausgeführt und ist so konfiguriert, dass er eine andere Komponente des Archivs ausführt.

Obwohl sie so eingestellt sind, dass sie häufig ausgeführt werden, tun die 3. und 4. Aufgaben nichts bis zur 15-tägigen verzögerten Aufgabe, die die RAR-Datei herunterlädt, da sonst keine Datei zum Extrahieren und keine ausführbare Datei zum Ausführen vorhanden ist.

„An diesem Punkt werden alle relevanten Dateien und Verzeichnisse gelöscht und die nächste Stufe der Infektionskette wird nach 15 Tagen mit dem Windows-Dienstprogramm Schtasks.exe fortgesetzt“, so die Forscher. „Auf diese Weise werden die frühen Phasen der Kampagne von den späteren Phasen getrennt, was es sehr schwierig macht, die Quelle der Infektionskette zu identifizieren und die ersten infizierten Anwendungen zu blockieren.“

Die neue bösartige Komponente ist ein zwischengeschalteter Dropper, der das System auf die Endphase vorbereitet. Zuerst scannt es die laufenden Prozesse bekannter VM-Apps und Sicherheitsprodukte, und wenn welche gefunden werden, funktioniert es nicht mehr. Wenn dieser Scan erfolgreich ist, fügt er eine neue Firewallregel für die folgenden Komponenten sowie Ausnahmen davon in Windows Defender hinzu.

Schließlich implementiert der Dropper eine weitere Komponente namens nniawsoykfo1.8.exe, die dann zwei ausführbare Dateien namens nniawsoykfo.exe und powermanager.exe ausführt. Letzteres ist eine Kopie der Open-Source-Krypto-Mining-Software XMRig, während ersteres eine Komponente ist, die den Miner steuert und sich mit einer Domain mit nvidiacenter im Namen verbindet, wo sich der gemeinsame Server und die Kontrolle der Angreifer befinden.

Das Programm sendet Informationen über das System wie Leerlaufzeit, Anzahl der CPU-Kerne, ob es sich um einen Desktop- oder Laptop-Computer handelt, installierte Antivirensoftware, angewendete Version von Powermanager.exe (XMRig) und vieles mehr.

Strenge Anwendungsnutzungsrichtlinien, die wichtigste Verteidigung gegen vireninfizierte Anwendungen

Während Apps, die gefälscht sind oder Trojaner enthalten, kein neuer Angriffsvektor sind, unterstreichen Stealth-Kampagnen wie diese, die jahrelang unbemerkt bleiben konnten, warum es so wichtig ist, strenge Richtlinien zur App-Nutzung für Unternehmen zu haben und diese gegenüber Mitarbeitern durchzusetzen . App-Whitelisting-Lösungen können auch auf sensiblen Systemen verwendet werden, um einzuschränken, welche Apps von wo heruntergeladen und installiert werden können.