Privatrechner als Münzautomaten

Wie Online-Gangster mit neuer Masche Geld drucken – Bitcoin-Botnetz entdeckt

Hallbergmoos, den 8. September – Trend Micro hat ein neues Botnetz entdeckt, das sich unter anderem über bösartige Kurzlinks („shortened URLs“) auf Twitter verbreitet. Die gekaperten Rechner von Privatanwendern werden dazu missbraucht, virtuelles Geld in der immer beliebteren Internetwährung „Bitcoins“ zu erzeugen. Aus Sicht der Cyberkriminellen ein lohnendes Geschäft: Ein „Bitcoin“ entspricht zurzeit acht US-Dollar – Tendenz steigend.

In der realen Welt schaffen nur Zentral- und Geschäftsbanken neues Geld. Nicht so im Internet. Die von einem Japaner kreierte virtuelle Währung „Bitcoins“ (Link: http://de.wikipedia.org/wiki/Bitcoin) wird nicht von Druckerpressen, sondern von Rechnern erzeugt. Je leistungsfähiger diese sind, desto schneller lässt sich ein neuer „Bitcoin“ errechnen. Der Aufwand dafür ist zwar beträchtlich, lohnt sich aber. Jedes Mal, wenn eine so genannte Bitcoin-Sperre – eine eingebaute Verschlüsselung, die verhindern soll, dass massenhaft neues Internetgeld geschaffen wird, und gewissermaßen eine Inflationsbremse darstellt – von einem oder mehreren Rechnern gelöst wird, entstehen 50 neue Bitcoins, die dem oder denen gehören, die zur Lösung der Sperre beigetragen haben.

Für eine Handvoll Bitcoins

Obwohl „Bitcoins“ in jüngster Zeit zunehmend in die Kritik (Link: http://www.spiegel.de/netzwelt/web/0,1518,767557,00.html) geraten, weil sie wie Bargeld nicht nur für legale Geschäfte, sondern auch für illegale Zwecke wie zum Beispiel Geldwäsche genutzt werden können, erfreuen sie sich zunehmender Beliebtheit. Denn damit steht eine international gültige Währung für weltweite Transaktionen zur Verfügung, deren Wert nicht von dem einer bestimmten Landeswährung und der dahinter stehenden Zentralbank beeinflusst werden kann. Da der Geldschöpfungsmechanismus aufwändig ist und damit die Geldschöpfung nur langsam verläuft, sorgt die steigende Nachfrage nach diesem digitalen Geld für dessen Wertsteigerung. Mittlerweile gibt es schon Online-Wechselstuben, bei denen sich die digitalen Münzen gegen verschiedene Landeswährungen kaufen und verkaufen lassen. Angebot und Nachfrage bestimmen dabei den jeweiligen Wechselkurs zum Beispiel in US-Dollar.

Es war daher wohl nur eine Frage der Zeit, bis Cyberkriminelle die Währung für sich als bequeme Einnahmequelle entdeckt haben. Mit den gekaperten Rechnern ahnungsloser Privatanwender stehen ihnen genügend Ressourcen zur Verfügung, um neue Bitcoins zu erzeugen. Selbstverständlich gehören diese dann nicht den Eigentümern der Rechner, wie vom Erfinder beabsichtigt, sondern den Online-Gangstern – bei tendenziell steigenden Wechselkursen ein äußerst lukratives Geschäft.

Vorsicht bei Kurzlinks auf Twitter

Eine der Infektionsketten startet mit bösartigen Kurzlinks auf Twitter, so genannten „Shortened URLs“. Da die Zeichenzahl begrenzt ist, werden auf der beliebten sozialen Plattform Dienste verwendet, um die in der Regel längeren Webadressen so zu kürzen, dass sie bequem in einen Tweet passen. Leider sieht man diesen Kurzversionen aber nicht an, ob sich dahinter eine legitime oder bösartige Website verbirgt.

Im Falle des Bitcoin-Botnetzes verweisen die bösartigen Kurzlinks auf eine Bilddatei, die angeblich bei Facebook zu finden ist. Wer auf diesen Trick hereinfällt und den Link anklickt, lädt und installiert ein bösartiges Programm, das den Rechner in einen Bitcoin-Goldesel, einen so genannten Bitcoin-Miner, verwandelt. Ein Suchlauf in Twitter zeigt, dass seit dem 2. September bereits 600 Tweets den bösartigen Link, der aus Gründen der besseren Tarnung auch den Domänennamen „facebook.com“ enthält, mit dem Text „hahaha!!!“ weitergeleitet haben. Zwar sind davon bislang hauptsächlich Twitter-Anwender in Indonesien betroffen, doch das kann sich sehr schnell ändern.

Zudem enthält die bösartige Software eine Komponente, die andere Rechner über so genannte „Denial-of-Service-Angriffe“ lahm legen kann. Damit könnten zum Beispiel Unternehmen erpresst werden, innerhalb einer bestimmten Frist eine gewisse Summe an Bitcoins zu zahlen.

Trend Micro rät Anwendern, Kurzlinks stets zu prüfen, bevor sie darauf klicken. Im Fall von Twitter ist dies sehr einfach mit diversen kostenlosen Twitter-Oberflächen möglich, deren Einstellungen dafür sorgen, dass beim Anklicken eines Kurzlinks zwingend dessen Langversion angezeigt wird. Erst nach nochmaliger Bestätigung durch den Anwender wird der Link geöffnet.

Trend Micro, einer der international führenden Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.

Trend Micro Deutschland GmbH
Peter Höger
Zeppelinstraße 1
85399 Hallbergmoos
0811-88990700

http://www.trendmicro.de/
peter_hoeger@trendmicro.de

Pressekontakt:
phronesis PR GmbH
Marcus Ehrenwirth
Ulmer Straße 160
86156 Augsburg
ehrenwirth@phronesis.de
0821-444800
http://www.phronesis.de/