2643755

Windows: Neues Botnet stiehlt Nutzerdaten und räumt Krypto-Wallets leer

21.02.2022 | 10:20 Uhr | Hans-Christian Dirscherl

Ein neu entdecktes Botnet greift Windows-Rechner an und stiehlt Nutzerdaten. Die Schadsoftware räumt auch Wallets mit Kryptowährungen wie Bitcoin oder Ether leer. So schützen Sie sich.

Auf Windows-Rechnern breitet sich ein neues Botnet aus. Die durch das Botnet installierte Schadsoftware ist darauf getrimmt, Kryptowährungen zu stehlen. Das berichtet die auf IT-Sicherheitsthemen spezialisierte Nachrichtenwebseite Bleeping Computer.

Wie bei einem Botnet üblich, werden die infizierten Windows-Rechner von Command-and-Control-Servern ferngelenkt und ausgespäht. Die Angreifer richten ständig neue solcher Command-and-Control-Server ein, das Botnet wird also aktiv ausgebaut. Forscher von ZeroFox entdeckten es erstmals Ende Oktober 2021 und tauften es auf den Namen „Kraken“ (nicht zu verwechseln mit dem Kraken-Botnet aus dem Jahr 2008). Das Botnet nutzt den SmokeLoader-Backdoor und Malware-Downloader, um sich auf neuen Windows-Systemen zu verbreiten.

So tarnt sich das Botnet auf dem Windows-PC

Nachdem es einen neuen Windows-PC infiziert hat, fügt das Botnet einen neuen Registrierungsschlüssel hinzu, um auch nach einem Neustart des Systems weiter funktionieren zu können. Besonders raffiniert: Es fügt dem Windows-eigenen Virenscanner Microsoft Defender einen Ausschluss hinzu, um sicherzustellen, dass sein Installationsverzeichnis nie gescannt wird. Außerdem verbirgt es seine Binärdateien im Windows Explorer mit dem „Versteckt“-Attribut.

Diesen Schaden richtet das Botnet an

Kraken stellt dem Angreifer dann einfache Funktionen zur Verfügung, um auf dem infizierten Rechner so viele Nutzerdaten wie nur möglich auszuspähen. Unter anderem ermöglicht es Kraken, auf den infizierten PC die Malware RedLine Stealer herunterzuladen.

RedLine ist darauf spezialisiert, Passwörter, Browser-Cookies, Kreditkartendaten und Informationen über Kryptowährungen auszuspähen. Gerade für letzteres wird RedLine im Kraken-Botnet anscheinend bevorzugt verwendet. Mit anderen Worten: das Kraken-Botnet plündert Wallets. ZeroFox zufolge kann Kraken Informationen von Zcash-, Armory-, Bytecoin-, Electrum-, Ethereum-, Exodus-, Guarda-, Atomic- und Jaxx Liberty-Krypto-Wallets stehlen. Den Sicherheitsforschern zufolge scheint Kraken jeden Monat Kryptowährung im Wert von rund 3.000 US-Dollar zu den Wallets seiner „Master“ hinzuzufügen. Die Kryptowährung HNT von Helium ist aufgrund ihrer anders gearteten Wallet-Struktur offensichtlich nicht betroffen.

Die ausführliche Analyse der Sicherheitsforscher von ZeroFox können Sie hier nachlesen.

So schützen Sie sich

Windows-Nutzer müssen immer aktuelle Antivirensoftware verwenden und immer zeitnah Sicherheitsupdates für Windows installieren. Zudem sollten Sie für alle Ihre Zugänge die Zwei-Faktor-Authentifizierung aktivieren.

Vor allem aber sollten Sie nie leichtfertig auf Dateien klicken, die Ihnen per Mail oder als Downloadlink zugeschickt werden! Fragen Sie gegebenenfalls beim Absender telefonisch nach, ob sie/er Ihnen tatsächlich eine Mail mit einer daran angehängten Datei geschickt hat. Stammt die Mail gar von einem Ihnen unbekannten Absender, sollten bei Ihnen alle Alarmsirenen angehen.

Linux- und macOS-Nutzer sind nicht gefährdet.

PC-WELT Marktplatz

2643755