Hackers vermommen cryptominer als legitieme Windows-installatiebestanden

Hackers vinden steeds weer nieuwe manieren om cryptovaluta te stelen. Het lijkt erop dat hackers nu een manier hebben gevonden om malware waarmee ze cryptovaluta kunnen minen, te verbergen als legitieme Windows-installatiebestanden. Malware die bekend staat als Coinminer, is specifiek ontworpen om onder de radar te vliegen.

Dat melden veiligheidsonderzoekers van de firma Trend Micro. Zij schrijven dat Coinminer een aantal methoden gebruikt om onzichtbaar te zijn. De onderzoekers hebben de malware ondertussen uitgebreid in kaart gebracht en schrijven hoe de malware precies werkt.

Vermomd als installatiebestand

De malware komt volgens de onderzoekers van Trend Micro op een Windows-apparaat aan, vermomd als een MSI-installatiebestand. “Dat is opvallend, want Windows Installer is een legitieme applicatie die software installeert”, schrijven de onderzoekers. “Door een echt Windows-component te gebruiken, lijkt het minder verdacht en kan de malware potentieel bepaalde veiligheidsfilters omzeilen.”

Zodra de malware geïnstalleerd is, bevat de malware directory een aantal bestanden die als afleiding dienen. Zo bevat de installer een script dat alle antimalware-processen op een computer tegenwerkt. Daarnaast is er een script in de directory te vinden, dat ook daadwerkelijk cryptovaluta begint te minen.

Tot slot bevat de malware een ingebouwd zelfvernietigingsmechanisme. “Om detectie en analyse nog moeilijker te maken, is de malware voorzien van een zelfvernietigingsmechanisme. Het verwijdert elk bestand in de installatiemap en verwijdert ook elk spoor van de installatie van het systeem.”

Cryptominers erg populair

Cryptominers winnen de laatste jaren aan populariteit. Onderzoekers waarschuwen dat 2018 vermoedelijk het jaar van de cryptominer is. Hackers zoeken allerlei manieren om miners op apparaten te installeren. Zo komen ze mee met Adobe Flash-updates, via routers en duizenden commerciële en non-commerciële websites.

Recent bleek nog dat een Canadese universiteit een besmet netwerk had, dat daarop volledig offline moest om te voorkomen dat de hackers nog cryptovaluta konden minen. Het is niet heel vreemd dat hackers blijven proberen miners te installeren; er zou maandelijks zo’n 250.000 dollar aan cryptovaluta binnenkomen op deze manier.