XBash: eine Malware, vier Module

Ransomware, Cryptominer, Botnet und Wurm – eine neu entdeckte Malware kann alles! Die auf den Namen XBash getaufte Schadsoftware versorgt Cyberbösewichte mit allem was das kriminelle Herz begehrt, gebündeltes als praktisches Paket. Das beste: Es ist auch eine systemübergreifende Malware und kann deswegen sowohl Windows- als auch Linux-Server angreifen.

Die verschiedenen Module der vor kurzem von den Sicherheitsforschern des Palo Alto Networks entdeckten Malware sind:

Module zur Infektion

Botnet-Modul: Dieses Modul wird dazu genutzt, um neue noch saubere Systeme zu infizieren und sich zu verbreiten. Dazu sucht das Botnet nach ungepatchten Sicherheitslücken die ausgenutzt werden können, um auf den Server zu gelangen. Es können Hadoop, Redis und Active MQ-Server übernommen werden.

Außerdem wird auch nach Möglichkeiten gesucht, sich über Brute-Force-Angriffe Zugriff auf Dienste wie Web Server (HTTP), VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh, and Rsyn zu erschleichen.

Wurm: Dieses Modul legt los, wenn ein Windows-Server erfolgreich infiziert wurde. Es scannt Lan-Ports, generiert daraus eine Liste an IP-Adressen aus demselben Netzwerk und testet dann, ob diese offen sind und/oder über die gleichen Sicherheitslücken verfügen wie das infizierte System. Laut den Sicherheitsforschern ist dieses Modul noch nicht aktiviert.

Module zum Geldmachen

Ransomware: Sobald die Schadsoftware es auf einen Linux-Server geschafft hat, legt dieses Modul los. Es sucht nach Datenbanken, löscht sie und hinterlässt dann eine Lösegeldforderung. Die Opfer sollen etwa 120€ zahlen, um ihre Daten wiederzubekommen.

Quelle: Palo Alto Networks

Laut den Sicherheitsforschern ist das aber eine Finte: „Wir haben bisher keine Beweise dafür gefunden, dass die Angreifer ihr Versprechen wahr machen und den Opfern dabei helfen, die gelöschten Datenbanken wiederzuerlangen. Ganz im Gegenteil: Wir haben bisher keinen Code in der XBash-Malware gefunden der darauf hindeutet, dass die gelöschten Datenbanken vorher irgendwo gesichert werden.“

Cryptominer: Mit diesem Modul, das auf Windows-Servern aktiv wird, können die Cyberbösewichte im Prinzip sofort anfangen Geld zu machen. Wie bei den meisten Cryptominern wird hier still und heimlich nach Kryptowährung geschürft – natürlich ohne das Einverständnis der Serverbetreiber.

Noch nicht ganz fertig

Während die Malware so schon potent genug ist, ist sie wahrscheinlich noch nicht ganz fertig gebaut. Die Entwickler dürften auf jeden Fall noch den Wurm aktivieren wollen, bevor sie zufrieden sind. Auch der Cryptominer und die Ransomware sind bisher Systemgebunden – also entweder  nur auf Windows (Cryptominer) oder Linux (Ransomware) benutzbar – etwas was sich in Zukunft sicher noch ändern wird: Es soll ja schließlich so viel Geld wie möglich gemacht werden.

Dieser Artikel ist auch verfügbar in: Englisch

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.