Neue Cryptojacking-Kampagne

Angreifer nutzten Sicherheitslücke in OneDrive aus

Sicherheitsforscher haben eine Cryptojacking-Kampagne entdeckt, die über eine Schwachstelle in OneDrive läuft.
Von  und
CSO | 11. Oktober 2022 14:05 Uhr
Cyberkriminelle nutzen eine bekannte DLL-Sideloading-Schwachstelle in OneDrive aus, um Cryptojacking zu betreiben.
Cyberkriminelle nutzen eine bekannte DLL-Sideloading-Schwachstelle in OneDrive aus, um Cryptojacking zu betreiben.
Foto: Bits And Splits - shutterstock.com

Cryptojacking - auch böswilliges Cryptomining genannt - stellt eine zunehmende Bedrohung für die IT-Sicherheit dar. Bei dieser Angriffsmethode missbrauchen Cyberkriminelle die Rechenleistung von gekaperten Endgeräten, um illegal Kryptowährungen zu schürfen. Der Security-Anbieter Bitdefender hat kürzlich eine Cryptojacking-Kampagne entdeckt, die eine Schwachstelle in Microsoft OneDrive ausnutzt, um auf infizierten Geräten unbemerkt zu bleiben.

Zwischen Mai und Juli entdeckten die Sicherheitsforscher etwa 700 Nutzer, die von der Kampagne betroffen waren. Laut Bitdefender verwendeten die Angreifer dabei vier Algorithmen zum Schürfen von Kryptowährungen: Ethash, Etchash, Ton und XMR. Demnach konnten sie mit jedem infiziertem Computer durchschnittlich 13 Dollar in Kryptowährungen erbeuten.

Cryptojacking-Kampagne nutzt OneDrive-Sideloading-Schwachstelle aus

Die Security-Spezialisten fanden heraus, dass die Angreifer eine bekannte DLL-Sideloading-Schwachstelle in OneDrive nutzten, indem sie eine secur32.dll-Datei fälschten. Sobald diese gefälschte secur32.dll in einen der OneDrive-Prozesse geladen wird, lädt sie Open-Source-Software zum Schürfen von Kryptowährungen herunter und injiziert diese in legitime Windows-Prozesse.

Beim Sideloading handelt es sich im Wesentlichen um die Installation von Code, der vom Urheber des Betriebssystems nicht zur Ausführung auf einem Gerät zugelassen wurde. DLL-Dateien sind eine Sammlung von kleinen Programmen, die Anweisungen enthalten. Diese sollen einem größeren Programm dabei helfen Aufgaben zu erledigen, die nicht zum ursprünglichen Bereich zählen.

Während sich die Onedrive-Kampagne ganz auf Cryptojacking konzentriert, kann DLL-Sideloading auch für die Bereitstellung von Spyware oder Ransomware verwendet werden. Da das Mining von Kryptowährungen ressourcenintensiv ist, verringerte sich die CPU- und GPU-Leistung der der Geräte. Zudem droht eine Überhitzung der Rechner und ein erhöhter Energieverbrauch.

OneDrive wird standardmäßig jeden Tag neu gestartet. Die Angreifer hinter der Cryptojacking-Kampagne haben die OneDrive.exe so eingestellt, dass sie nach einem Neustart auch dann ausgeführt wird, wenn der Benutzer diesen Prozess deaktiviert hat. So erreichen die Angreifer einen andauernden Betrieb. In rund 96 Prozent der entdeckten Fälle hat Bitdefender festgestellt, dass mit dem Neustart die bösartige secur32.dll geladen wurde.

OneDrive lässt sich entweder pro Benutzer oder pro Gerät installieren. In der Standardinstallation pro Benutzer ist der OneDrive-Ordner auch ohne Berechtigung beschreibbar. Dadurch könne dort eine bösartige DLL abgelegt oder eine ausführbare Datei geändert sowie vollständig überschrieben werden, warnen die Forscher. "OneDrive wurde speziell für diesen Angriff ausgewählt, weil es dem Akteur erlaubt, eine einfache Persistenz zu erreichen", heißt es im Bericht.

Microsoft empfiehlt seinen Kunden, in den Programmdateien die Option zur Installation auf dem eigenen Gerät zu wählen. Da aber die Installation auf dem eigenen Rechner nicht immer sinnvoll ist, empfiehlt Bitdefender den Nutzern sicherzustellen, dass ihre Antiviren- und Betriebssysteme auf dem neuesten Stand sind. Sie sollten gecrackte Software und Spiele-Cheats vermeiden und Software nur von vertrauenswürdigen Quellen herunterladen.

Fälle von Cryptojacking nehmen zu

Laut dem SonicWall Cyber Threat Report 2022 stiegen die Cryptojacking-Fälle im ersten Halbjahr 2022 auf 66,7 Millionen, was einem Anstieg von 30 Prozent gegenüber dem ersten Halbjahr 2021 entspricht. Allein der Finanzsektor verzeichnete dem Bericht zufolge einen Anstieg um 269 Prozent.

Die Zunahme von Cryptojacking ist auf das geringe Risiko und die hohe Belohnung für die Bedrohungsakteure zurückzuführen. Zudem ist die Angriffsmethode lukrativ geworden, da die Preise einiger Kryptowährungen zwar nicht in den zurückliegenden Monaten, aber sehr wohl über die vergangenen Jahre hinweg stark angestiegen sind.

Darüber hinaus dürfte der starke Fokus vieler Firmen und auch der Ermittlungsbehören auf Ransomware-Angriffe für eine Verlagerung der Angriffsszenarien in Richtung Cryptojacking gesorgt haben. Bei einem Ransomware-Angriff muss der Angreifer mit dem Opfer kommunizieren, um sein Lösegeld zu bekommen. Im Gegensatz dazu erfolgen Cryptojacking-Kampagnen diskret, und das Opfer bekommt oft nicht einmal etwas von dem Angriff mit.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Apurva Venkat ist Hauptkorrespondentin für die indischen Ausgaben von CIO, CSO und Computerworld. Zuvor berichtete sie für ISMG, IDG India, Bangalore Mirror und Business Standars über neue technologische Entwicklungen sowie Tech-Unternehmen, Startups, Fintech, E-Commerce und Cybersicherheit.
Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.