IceRat: Schadprogramm mit doppeltem Nutzen für Cyber-Kriminelle

Laut G DATA hat es IceRat auf Nutzer-Passwörter und illegales Coin-Mining abgesehen

[datensicherheit.de, 01.12.2020] Das Schadprogramm „IceRat“ hat es laut G DATA auf Nutzer-Passwörter und illegales Coin-Mining abgesehen und setze dabei auf außergewöhnliche Strategien, um nicht entdeckt zu werden. „IceRat“ spioniere die Zugangsdaten von Nutzern für verschiedene Online-Dienste aus und könne bei einer Infektion ungewollt die Stromrechnung von Anwendern in die Höhe treiben – durch verdecktes illegales Coin-Mining. Technisch hätten sich die Entwickler einiges ausgedacht, um eine Erkennung des Schadcodes durch Sicherheitslösungen zu verhindern.

IceRat installiert Coin-Miner, der illegal digitale Währungen schürft

Karsten Hahn, Virusanalyst bei G DATA, hat nach eigenen Angaben „IceRat“ genauer unter die Lupe genommen: „Gelangt das gefährliche Schadprogramm auf den Computer, späht es die Zugangsdaten für verschiedene Online-Dienste, zum Beispiel facebook oder amazon aus.“
Diese Informationen alleine reichten den Kriminellen allerdings nicht aus: Sie installierten zusätzlich einen Coin-Miner, der illegal digitale Währungen schürfe. Hahn: „So verdienen die Täter zusätzlich Geld und die Opfer haben es mit einer erhöhten Stromrechnung zu tun.“

IceRat kann Virenschutz-Lösungen austricksen

Bei „IceRat“ hätten die Angreifer die Schadfunktionen nicht in eine Datei geschrieben, sondern diese auf mehrere Komponenten verteilt, welche zu der Malware zusammengesetzt worden seien. Bei den meisten dieser Bestandteile sei der Analyst auf eine Programmiersprache gestoßen, „die für Schadcode sehr ungewöhnlich ist: JPHP“.
Dabei handele es sich um eine „PHP“-Implementierung, welche in der virtuellen Maschine von „Java“ laufe. Durch dieses Vorgehen versuchten die Cyber-Kriminellen Sicherheitslösungen auszutricksen, um eine Erkennung zu verhindern. „Wenn einzelnen Dateien des Schadprogramms der Gesamtkontext fehlt, ist es schwer, diese als bösartig zu identifizieren“, so Hahn. Die Nutzung von „JPHP“ sei ebenfalls so ungewöhnlich, dass viele Sicherheitslösungen nicht Alarm schlügen.

IceRat ist sehr gefährlich und schädigt zweifach

„IceRat ist sehr gefährlich und schädigt Nutzer gleich in zweierlei Hinsicht. Eine Infektion führt dazu, dass nicht nur Passwörter in fremde Hände geraten und lukrativ in speziellen Untergrundmärkten verkauft werden können“, warnt Hahn.
Gleichzeitig werde der Computer auch noch für illegales Coin-Mining missbraucht. Damit verdienten die Angreifer doppelt auf Kosten ihrer Opfer. Kunden von G DATA CyberDefense brauchten sich indes „keine Sorgen zu machen“, denn sie seien vor diesem gefährlichen Schadcode geschützt.

Weitere Informationen zum Thema:

G DATA Blog, Karsten Hahn, 01.12.2020
IceRat evades antivirus by running PHP on Java VM

datensicherheit.de, 26.09.2020
Windows XP: Quellcode-Leak durchaus bedrohlich