Krypto-Malware: Wormable Cryptojacking nutzt BYOVD-Angriff

Key Takeaways:

• Eine neue, wormable Cryptojacking-Kampagne verbreitet sich über raubkopierte Software-Bundles.
• Sie nutzt eine BYOVD-Technik (Bring Your Own Vulnerable Driver), um Kernel-Zugang zu erlangen.
• Ein zentraler Controller-Binary agiert als vielseitige State-Machine.
• Eine integrierte Zeitbombe (Kill Switch) löscht die Malware nach einem festen Datum.
• Die Malware kann sich über USB-Laufwerke weiterverbreiten und optimiert die CPU für das Monero-Mining.

Raffinierte Infektionskette über Raubkopien

Sicherheitsforscher von Trellix haben eine ausgeklügelte Cryptojacking-Kampagne aufgedeckt, die sich über Installer für raubkopierte „Premium“-Software verbreitet. Ihr Ziel ist es, einen angepassten XMRig-Miner zu deployen, der die Kryptowährung Monero (XMR) schürft. Die mehrstufige Infektionskette zielt darauf ab, die Hashrate zu maximieren und infizierte Systeme oft bis an die Grenze der Stabilität auszulasten.

Im Kern der Operation steht eine ausführbare Datei namens Explorer.exe. Anders als bei klassischer Malware, die linear abläuft, fungiert diese Datei als persistenter, vielseitiger Orchestrator.

„Explorer.exe (controller) operiert als eine persistente State-Machine“, heißt es im Bericht von Trellix. „Sie bestimmt ihr Verhaltensmuster basierend auf den spezifischen Kommandozeilenargumenten, die ihr bei der Ausführung übergeben werden.“

Dadurch kann eine einzige Binärdatei mehrere Rollen im Infektionslebenszyklus übernehmen:

• Installer: Setzt die Malware initial auf.
• Watchdog: Überwacht und sichert den Betrieb.
• Payload Manager: Verwaltet und startet die Schadkomponenten.
• Cleaner: Führt die Bereinigung durch.

BYOVD-Exploit für Kernel-Zugang und Performance-Boost

Ein entscheidender Angriffsvektor ist die BYOVD-Technik (Bring Your Own Vulnerable Driver). Statt einen eigenen schädlichen Treiber zu schreiben, lädt die Malware einen legitimen, aber veralteten und signierten Treiber namens WinRing0x64.sys. Dies gewährt ihr Kernel-Zugang (Ring 0).

Mit diesen erhöhten Privilegien manipuliert sie spezifische CPU-Register, um Hardware-Prefetcher abzuschalten. Diese Optimierung ist gezielt auf den RandomX-Algorithmus von Monero zugeschnitten, der auf zufälligem Speicherzugriff basiert.

• Durch das Abschalten der Prefetcher werden Cache-Konflikte reduziert.
• Dies steigert die Mining-Performance laut Bericht um 15% bis 50%.

Die eigentlichen Payloads – darunter der Miner, Watchdogs und der anfällige Treiber – sind im Ressourcenabschnitt der Binärdatei eingebettet, werden dekomprimiert und als versteckte Systemdateien auf der Festplatte abgelegt.

Robustes Überwachungssystem und USB-Wurm-Funktion

Ein kreisförmiges Watchdog-System stellt sicher, dass beendete Komponenten sofort neu gestartet werden. Es ist so aggressiv, dass es sogar den echten Windows Explorer beendet, um Benutzer zu stören und seine eigene Präsenz zu sichern.

Zudem verfügt die Malware über ein Wurm-Modul zur Verbreitung über USB-Laufwerke. Sie lauscht auf Systembenachrichtigungen für neue Wechselmedien. Wird ein USB-Stick eingesteckt, kopiert sie sich darauf, versteckt sich in einem Ordner und legt einen schädlichen Shortcut an, der wie das Laufwerkssymbol aussieht. Wird der Stick auf einem anderen PC geöffnet, kann dies zur Ausführung der Malware und weiterer Verbreitung führen.

Die integrierte Zeitbombe: Ein geplanter Abbruch

Eine bemerkenswerte Entdeckung ist ein hartkodierter Kill Switch oder eine Zeitbombe. Eine Funktion im Code prüft das lokale Systemdatum gegen einen Stichtag: den 23. Dezember 2025.

• Aktive Phase (vor dem 23.12.2025): Die Malware führt ihre Standard-Infektionsroutine aus.
• Ablaufphase (nach dem 23.12.2025): Sie startet eine kontrollierte Bereinigungsroutine und entfernt sich selbst.

Dies deutet auf einen geplanten, zeitlich begrenzten Betrieb hin – möglicherweise abgestimmt auf die Mietdauer von Command-and-Control-Servern oder erwartete Schwankungen im Monero-Mining.

Fazit: Innovation bei Commodity-Malware

Die Kampagne zeigt, wie sich alltägliche Schadsoftware weiterentwickelt. Durch die Kombination von Social Engineering, der Vortäuschung legitimer Software, wurmartiger Verbreitung und Kernel-Exploits haben die Angreifer ein widerstandsfähiges und hocheffizientes Botnet geschaffen.

„Die Verwendung der BYOVD-Technik unterstreicht insbesondere eine kritische Schwachstelle in modernen OS-Sicherheitsmodellen: das Vertrauen in signierte Treiber“, schlussfolgert der Trellix-Bericht.

Für Nutzer ist dies eine erneute Warnung, Software nur aus vertrauenswürdigen Quellen zu beziehen und den Zugriff veralteter Treiber im System zu überwachen.