Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet
Es handelt sich bei dem neuartigen Wurm allem Anschein nach um eine Abwandlung eines alten Bekannten. Mechtinger schreibt, dass es sich um eine Golang-basierte Malware handelt, die aktiv XMRig-Kryptowährungs-Miner auf Windows- und Linux-Servern ablegt. Die ersten Spuren fand Mechtinger bei der Suche nach dem Ursprung der Schadsoftware datiert auf Anfang Dezember.
Diese Multiplattform-Malware verfügt über Wurm-Fähigkeiten, die es ihr ermöglichen, sich auf andere Systeme zu verbreiten, indem sie öffentlich zugängliche Dienste wie MySQL, Tomcat, Jenkins und WebLogic nutzt. Dazu werden zunächst Passwörter ausspioniert und übertragen, wie der Intezer-Sicherheitsforscher aufdeckte. Der Wurm nutzt auch Brute-Force-Techniken, um sich bei den Diensten anzumelden.
Bedrohungen unter dem Radar
Besonders heikel an der Entdeckung der neuen Schadsoftware ist, dass der Code des Wurms und seine Tricks für Windows und Linux nahezu identisch sind - und dass die Malware in VirusTotal unentdeckt bleibt. Laut Mechtinger ist das ein guter Hinweis darauf, dass vor allem Bedrohungen gegen Linux für die meisten Sicherheits- und Erkennungsplattformen immer noch unter dem Radar fliegen. Damit sind sie für Hacker besonders attraktiv.Die Angreifer, die hinter dieser Kampagne stehen, haben die Fähigkeiten des Wurms seit seiner Entdeckung aktiv über seinen Command-and-Control (C2)-Server aktualisiert. Viel mehr ist aktuell noch nicht bekannt - auch nicht, wie hoch die "Gewinne" durch die abgelegten Crypto-Währungsminer sind.
Emotet-Panik: Jetzt warnt die Telekom vor Fake-Rechnung mit Trojaner
Eine Welle rollt durch DE: Trojaner legt weiter ganze Unternehmen lahm
Anhang geöffnet: Malware "Emotet" schaltet Klinikums-IT komplett aus