Neuer Wurm: Kryptominer erkennt Spiele und fÀhrt herunter

Neuer Wurm: Kryptominer erkennt Spiele und fÀhrt herunter

Bitdefender hat eine neue Kombination aus Wurm und Kryptomer entdeckt, die Spieler im Blick hat und so lange wie möglich unbemerkt bleiben möchte. Dies wird durch die getaufte Beapy / PCASTLE-Malware erreicht, die beim Starten von Spielen wie Counter Strike, League of Legends oder Grand Theft Auto heruntergefahren wird.

Kryptomere erkennen Spiele und einige Anwendungen anhand einer Liste gespeicherter Prozesse. Durch Deaktivieren der SpielausfĂŒhrung beeintrĂ€chtigt Kryptominer die Spieleleistung nicht und greift daher betroffene Systeme nicht schnell auf. Sobald die Spiele vorbei sind, werden die Minen im Hintergrund fortgesetzt.

Der Task-Manager beendet auch die Suche

Der Windows Task-Manager ist ebenfalls in der Prozessliste enthalten, sodass die CPU-Auslastung abnimmt, sobald der Benutzer sie startet, und nach der Ursache fĂŒr die hohe Auslastung sucht, die in schnelleren LĂŒftern ausgedrĂŒckt werden kann.

Ähnlichkeiten zum EternalBlue-Exploit

Kryptomer baut die Monero-KryptowĂ€hrung (XMR) ab, und im Fall von Beapy / PCASTLE werden sowohl die leistungsstarken CPU- als auch die GPU-Ressourcen des Gaming-PCs zum Erstellen von Monero verwendet. Der Wurm besteht aus Python- und PowerShell-Komponenten, um das Kryptomer mit dem Wurm zu verbinden. Die Systeme sind mit unvollstĂ€ndigen SicherheitslĂŒcken infiziert, von denen Bitdefender glaubt, dass sie dem gefĂ€hrlichen Exploit EternalBlue Ă€hneln, Softwarefehlern in der Windows SMB-Implementierung, die auch von WannaCry verwendet und verwendet werden. Diese SicherheitsanfĂ€lligkeit wurde von der NSA jahrelang ausgenutzt, bevor sie Microsoft nach der Offenlegung gemeldet wurde.

Bild 1 von 2

Infiziert mit einem modifizierten DriveTheLife-Installationsprogramm

Derzeit erreicht die Wurm-Cryptominer-Kombination ĂŒber eine modifizierte Version von DriveTheLife viele Systeme, die die Treiber im System automatisch aktualisieren.

Beapy / PCASTLE wurde erstmals Ende 2018 entdeckt und hat sich seitdem in vielen Regionen der Welt verbreitet. Einige Worm Cryptominator-Module wurden seitdem von ihren Entwicklern aktualisiert, um sie zu verbessern und auszublenden.