Minas ist eine mehrstufige Cryptominer-Malware

Minas, eine Schadsoftware, die für das Kryptowährungs-Mining entwickelt wurde, ist eine heimtückische Bedrohung, die die XMRIG-Anwendung ausnutzt, die ursprünglich für das legitime Monero-Mining gedacht war. Diese besondere Art von Malware übt enormen Druck auf infizierte Computer aus und gefährdet dadurch den Gesamtzustand des Systems und seiner Hardware.

Minas setzt verschiedene hochentwickelte Techniken ein, um einer Entdeckung zu entgehen und seine Langlebigkeit sicherzustellen. Sein Hauptziel besteht darin, Kryptowährungen zu schürfen, ein Prozess, bei dem Computerleistung zur Lösung komplexer mathematischer Probleme genutzt wird, um digitale Währungen zu generieren.

Der Akt des Minings erfordert robuste Hardware, was Cyberkriminelle dazu veranlasst, häufig die Geräte ahnungsloser Opfer auszunutzen oder ganze Botnetze für diesen Zweck zu nutzen, anstatt in ihre eigene Ausrüstung zu investieren.

Die Minas-Infektionskette, Schritt für Schritt

Die Zusammenfassung der Infektionskette lautet wie folgt:

• Über den Taskplaner wird ein PowerShell-Skript ausgeführt, das die Datei lgntoerr.gif von einem Remote-Server abruft.
• Bei der Entschlüsselung verwandelt sich lgntoerr.gif in eine .NET-DLL, die dann geladen wird.
• Die .NET-DLL extrahiert und entschlüsselt drei Dateien: zwei DLLs und eine verschlüsselte Nutzlast und platziert sie im ProgramData-Verzeichnis.
• Von der .NET-DLL wird eine Aufgabe erstellt, um die legitime Komponente ilasm.exe während des Systemstarts mithilfe des Taskplaners automatisch auszuführen.
• Der Taskplaner initiiert ilasm.exe aus dem ProgramData-Verzeichnis.
• ilasm.exe startet fusion.dll, einen bösartigen DLL-Hijacker, der sich ebenfalls im selben Verzeichnis befindet.
• fusion.dll lädt die zweite entschlüsselte DLL.
• Die zweite DLL generiert einen angehaltenen dllhost.exe-Prozess.
• Die Nutzlast innerhalb der verschlüsselten Binärdatei wird von der zweiten DLL entschlüsselt.
• Die entschlüsselte Nutzlast wird als DLL in den Prozess dllhost.exe eingefügt.
• Die Prozess-ID (PID) des Prozesses dllhost.exe wird in einer Datei im ProgramData-Verzeichnis gespeichert.
• Die Kontrolle wird innerhalb des Prozesses dllhost.exe an die entschlüsselte Nutzlast übergeben.
• Die Nutzlast-DLL extrahiert die Miner-DLL und führt sie im Arbeitsspeicher des Computers aus.
• Im Wesentlichen beschreiben diese Schritte den Verlauf der Infektionskette, wobei jede Phase zur Ausführung der bösartigen Miner-Komponente beiträgt.

Warum stellen Kryptominer eine Bedrohung für das System als Ganzes dar?

Durch die Ausnutzung von Systemressourcen wie CPUs und GPUs verbrauchen Kryptominer eine erhebliche Menge an Rechenleistung, um digitale Währungen zu generieren. Diese unbefugte und übermäßige Nutzung kann bis zu 100 % der Ressourcen des Geräts beanspruchen, was zu häufigen Systemabstürzen, Abstürzen und anderen schwerwiegenden Problemen führt, die das betroffene Gerät praktisch unbrauchbar machen.

Darüber hinaus führt die übermäßige Belastung des Systems wahrscheinlich zu einer Überhitzung. In Kombination mit anderen Faktoren wie schlechter Belüftung, hoher Raumtemperatur und ähnlichen Bedingungen kann diese übermäßige Hitze zu irreversiblen Schäden an der Hardware führen und die Komponenten praktisch „durchbraten“.

Zusammenfassend lässt sich sagen, dass das Vorhandensein von Minas oder ähnlicher Schadsoftware auf Geräten schwerwiegende Folgen haben kann. Dazu gehören verminderte Systemleistung, Systemausfälle, dauerhafter Datenverlust, Hardwareverschlechterung und erhebliche finanzielle Verluste.