Neue Linux-Malware (PyLoose) schürft Kryptowährungen direkt aus dem Speicher

Malware Attacke

Forscher des Sicherheitsunternehmens Wiz haben am 22. Juni 2023 eine neue Malware identifiziert, die Cloud-Workloads ausnutzt, um Kryptowährungen zu schürfen. Das zugrundeliegende Schadprogramm PyLoose, ein einfaches Python-Skript mit vorprogrammiertem XMRig-Miner, wird verwendet, um die virtuelle Währung Monero zu generieren.

Der XMRig-Miner ist ein weit verbreitetes Open-Source-Tool, das CPU-Ressourcen nutzt, um komplexe Algorithmen im Kontext des Krypto-Minings zu lösen. Es ist base64-kodiert in PyLoose eingebettet und liegt in einer relativ aktuellen Version vor, die den Mining-Pool „MoneroOcean“ verwendet.

PyLoose erweist sich als besonders tückisch: Als dateibasierte Malware agiert sie direkt aus dem Speicher heraus und hinterlässt keine Spuren auf den Systemlaufwerken. Das macht die Malware schwer auffindbar und schützt sie vor signaturbasierten Erkennungssystemen. Eingebettet in reguläre Systemprozesse nutzt PyLoose legitime Systemwerkzeuge, um seinen Schadcode auszuführen.

Bislang konnten die Wiz-Experten mindestens 200 bestätigte Kompromittierungen durch diese Malware aufdecken. Die Angriffe beginnen typischerweise mit dem Zugriff auf Systeme über öffentlich zugängliche Jupyter Notebook-Dienste, die keine Einschränkungen für Systembefehle aufweisen.

Um den Schadcode zu implementieren, greifen die Angreifer über eine HTTPS GET-Anfrage auf eine Pastebin-ähnliche Website zu, von der sie PyLoose abrufen und direkt in den Speicher von Python laden.

Trotz intensiver Untersuchungen konnten die Wiz-Forscher die Angriffe bisher keinem Angreifer zuordnen, da die Angreifer kaum verwertbare Spuren hinterlassen.

Die Sicherheitsexperten raten Administratoren von Cloud-Instanzen zu erhöhter Wachsamkeit: Sie sollten auf die Nutzung von öffentlichen Diensten verzichten, die anfällig für die Ausführung von Code sind, und auf starke Passwörter, mehrstufige Authentifizierung sowie strikte Einschränkungen für die Ausführung von Systembefehlen setzen.

Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant und IT Fachjournalist (Themen: Tech, IT-Sicherheit und Datenschutz). Felix Bauer ist seit 20 Jahren in der IT-Sicherheitsbranche tätig. Sein Hauptschwerpunkt liegt auf dem Thema „Virenschutz für Endanwender“. Felix Bauer ist OpenSource-Evangelist und besitzt den Master of Science in Security and Forensic Computing. Felix Bauer hat bereits an zahlreichen IT-Sicherheitskonferenzen und sonstigen IT-Sicherheitstagungen teilgenommen und diverse professionelle Qualifikationen im Bereich IT-Sicherheit erworben. Er ist Mitbegründer des Projekts bleib-Virenfrei.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Aufgrund einer enormen Zunahme von Spam-Kommentaren muss ich alle Kommentare manuell freischalten. Es kann daher zu Verzögerungen bei der Veröffentlichung von Kommentaren kommen.