Die Experten von Bitdefender warnen vor einer Cryptojacking-Kampagne über eine DLL-Sideloading-Schwachstelle in Microsoft OneDrive. Es wurden bereits 700 angegriffene Microsoft-OneDrive-Instanzen im Mai und Juni 2022 von Bitdefender entdeckt. Deutschland ist mit am stärken betroffenen.
Cryptojacking ist eine wachsende Gefahr: Hacker nutzen Ressourcen infizierter PCs oder mobiler Geräte, um deren Ressourcen für das eigene Cryptomining zu nutzen. In den Monaten Mai und Juni 2022 hat Bitdefender weltweit eine Angriffskampagne entdeckt, in der Cyberkriminelle bekannte DLL-Sideloading-Schwachstellen in Microsoft OneDrive ausnutzen, um Cryptomining-Malware auf den Systemen der Opfer zu installieren. Prinzipiell könnten sie über die Schwachstelle jede Malware herunterladen – auch Malware.
Cryptomining-Malware per Schwachstelle
Das Home windows-Betriebssystem und andere Anwendungen bauen auf den DLL-Dateien auf, die Funktionalitäten bereitstellen oder erweitern. Sobald eine Applikation eine Funktionalität in einer spezifischen DLL benötigt, sucht sie nach ihr in der vordefinierten Reihenfolge zunächst in der Listing, aus der die Applikation geladen wurde, dann in der System-Listing, in der 16-bit-System-Listing, in der Home windows Listing, in der aktuell verwendeten Listing und zuletzt in den Directories, die in der Path-Umgebunsvariable aufgelistet ist. Wenn der vollständige Pfad der benötigten DLL-Dateien nicht spezifiziert ist, versucht die Applikation die Datei auf den beschriebenen Pfaden zu finden. Wenn Hacker eine bösartige DLL auf dem Suchpfad implementiert haben, wird diese anstelle der eigentlich benötigten Anwendung unbemerkt geladen und ausgeführt.
Obtain bösartiger DLLs über OneDrive.exe
In der von Bitdefender analysierten Attacke schreiben die Angreifer ohne besondere Rechte eine falsche secure32.dll in den Pfad %appdatapercentLocalMicrosoftOneDrive. Die OneDrive Prozesse OneDrive.exe oder OneDriveStandaloneUpdater.exe laden diese dann. Weil %appdatapercentLocalMicrosoftOneDriveOneDriveStandaloneUpdater.exe planmäßig jeden Tag laufen soll, sind die falschen DLL-files nun persistent im System des Opfers.
Anzeige
Zusätzlich verankern die Angreifer die falsche DLL im System über %appdatapercentLocalMicrosoftOneDriveOneDrive.exe. Dabei konfigurieren sie, dass die OneDrive.exe bei jedem Reboot unter Verwenden der Home windows Registry startet. Nach dem Laden der falschen secure32.dll über diese OneDrive-Prozesse lädt diese die Software program zum Cryptomining nach und infiziert sie in legitime Home windows-Prozesse. Auf dieselbe Artwork und Weise könnten die Angreifer genauso intestine Ransomware oder Spyware and adware auf den Systemen installieren.
Die Hacker verbreiten in der Cryptomining-Kampagne Algorithmen zum Schürfen von vier Kryptowährungen: Vor allem etchasch sowie daneben ethash, ton und xmr. Im Schnitt liegt der Revenue der Cyberkriminellen professional infiziertem Rechner bei 13 Greenback. Die Opfer stellen Einbußen in der Efficiency der Systeme fest.
Microsoft: OneDrive „per machine“ installieren
Anwender können Microsoft OneDrive entweder „per consumer“ oder „per machine“ installieren. Voreingestellt ist die Set up „per consumer“. In dieser Konfiguration können Nutzer ohne besondere Privilegien den Ordner, in dem sich OneDrive befindet, beschreiben. Hacker können bösartige Malware hier ablegen, ausführbare Dateien modifizieren oder vollständig überschreiben. Microsoft empfiehlt daher, die OneDrive „per machine“ zu installieren und bietet dazu eine Anleitung.
Weitere Vorsichtsmaßnahmen nötig
Die „per machine“-Set up eignet sich aber nicht für jede Umgebung oder für jedes Privilegierungslevel. Bitdefender mahnt daher die OneDrive-Nutzer zu großer Vorsicht. Sowohl der Virenschutz als auch das verwendete Betriebssystem sind stets zu aktualisieren.
Über Bitdefender
Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen.
www.bitdefender.de
Passende Artikel zum Thema
