Frankfurt, 24. Januar 2018

Im Juli 2017 haben die Sicherheitsspezialisten von Doctor Web in Cleverence Mobile SMARTS Server-Anwendungen eine Zero-Day-Sicherheitslücke entdeckt. Die Entwickler der Anwendungen haben einen Sicherheits-Patch veröffentlicht, der diese Sicherheitslücke schließen soll. Die Schwachstelle wird jedoch immer noch zum Schürfen von Kryptowährung ausgenutzt.

Die Cleverence Mobile SMARTS Server-Anwendungen wurden für den Einsatz bei der Automatisierung von Shops, Lagern und Produktionsstätten entwickelt. Diese Anwendungen laufen unter Microsoft Windows. Ende Juli 2017 haben die Sicherheitsanalysten von Doctor Web eine Schwachstelle in einer der Komponenten von Cleverence Mobile SMARTS Server entdeckt, über die Cyber-Kriminelle unerlaubt auf Server zugreifen können und Trojaner aus der Familie Trojan.BtcMine - die zum Schürfen von Kryptowährung eingesetzt werden - installieren. Die Entwickler von Cleverence Mobile SMARTS Server wurden bereits über die Sicherheitslücke benachrichtigt.

Am Anfang haben Übeltäter mehrere Versionen des Mining-Trojaners eingesetzt. Diese wurden von Dr.Web als Trojan.BtcMine.1324, Trojan.BtcMine.1369 und Trojan.BtcMine.1404 erkannt. An den Server, auf welchem die Anwendung Cleverence Mobile SMARTS Server läuft, senden sie den Befehl, einen neuen Benutzer mit Administratorrechten zu erstellen, und erhalten auf diese Weise unerlaubten Zugang zum Server via RDP. In einigen Fällen können Einbrecher mit Hilfe des Treibers Process Hacker Prozesse der auf Servern laufenden Virenschutzsoftware abbrechen. Nachdem sie den Zugang zum System erhalten haben, installieren sie einen Mining-Trojaner.

Der Trojaner stellt eine dynamische Bibliothek dar, die Cyber-Kriminelle in einem temporären Verzeichnis speichern und anschließend starten. Der Schädling ersetzt einen regulären Windows-Dienst, indem die Datei des regulären Dienstes gelöscht wird. Der böswillige Dienst sichert sich anschließend ein paar Systemprivilegien und markiert sich als kritisch. Danach speichert der Trojaner alle für seine Arbeit wichtigen Dateien auf der Festplatte und beginnt, Kryptowährung zu schürfen. Dabei nutzt er Ressourcen des infizierten Servers aus.

Obwohl die Entwickler von Cleverence Mobile SMARTS Server den Sicherheits-Patch bereits veröffentlicht haben, installieren einige Administratoren keine Updates. Währenddessen installieren Cyber-Kriminelle ihre Mining-Trojaner auf infizierten Servern und passen deren Versionen laufend an. Seit November 2017 setzen sie einen neuen Trojaner ein, an dem man immer noch feilt. Der Schädling heißt Trojan.BtcMine.1978 und ist zum Schürfen von Monero (XMR) und Aeon gedacht.

Der Mining-Trojaner wird als kritischer Prozess unter dem Namen «Plug-and-Play Service» gestartet. Das Betriebssystem zeigt einen blauen Bildschirum (BSOD) an, wenn es diesen Prozess abzubrechen versucht. Nachdem Trojan.BtcMine.1978 gestartet ist, versucht er Dienste von Dr.Web, Windows Live OneCare, Kaspersky Antivirus, ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security und Windows Defender zu entfernen. Anschließend sucht er nach Prozessen von Malwareschutz-Apps, um diese zu stoppen. Dr.Web findet und sperrt den Treiber Process Hacker, über den Trojan.BtcMine.1978 Prozesse abbrechen kann. Dieser Treiber wurde in die Malwaredefinitionsdatei von Dr.Web als Hacktool aufgenommen.

Nachdem Trojan.BtcMine.1978 eine Liste von Ports erhalten hat, sucht er in seinem Umfeld nach einem Router. Anschließend leitet er via UPnP den TCP-Port des Routers an Ports aus dieser Liste weiter und baut via HTTP eine Verbindung zu ihnen auf. Alle notwendigen Einstellungen speichert der Schädling im Registry von Windows.

Der Mining-Trojaner verfügt über eine Liste von IP-Adressen von Verwaltungsservern. Er prüft, ob ein Server aktiv ist und konfiguriert Proxy-Server auf dem infizierten Rechner, um Kryptowährung zu schürfen. Auf Befehl von Cyber-Kriminellen startet er auch die PowerShell. Danach leitet er deren Ein- und Ausgabe an den infizierten Rechner des Nutzers weiter. So können Cyber-Kriminelle auf dem infizierten Rechner verschiedene Befehle per Fernzugriff ausführen.

Nach all diesen Aktionen bettet der Trojaner ein Modul zum Schürfen von Kryptowährung wie Monero (XMR) und Aeon in alle gestarteten Prozesse ein.

Obwohl Trojan.BtcMine.1978 Prozesse von Virenschutzsoftware abbrechen kann, sind Dr.Web Nutzer in Sicherheit. Der Dr.Web Selbstschutz hindert den Trojaner daran, kritische Virenschutzkomponenten zu stoppen. Das Team von Doctor Web empfiehlt Administratoren von Servern, die Cleverence Mobile SMARTS Server verwenden, alle neuesten Sicherheits-Patches zu installieren.