Verstohlener Krypto-Miner nutzt NSA-Exploit und schläft beim Spielen

Beapy/PCASTLE deaktiviert sich, sobald Spiele oder leistungshungrige Programme gestartet werden und will so unbemerkt bleiben.

von Alexander Köpf,
24.09.2019 20:14 Uhr

Zwar stehen Spieler im Visier von Beapy/PCASTLE, aber auch jeder andere kann Opfer der Malware werden. (Bildquelle: Bitdefender)Zwar stehen Spieler im Visier von Beapy/PCASTLE, aber auch jeder andere kann Opfer der Malware werden. (Bildquelle: Bitdefender)

Eine neue Kombination aus Wurm und Krypto-Miner zielt besonders auf Gamer ab. Das teilten die Sicherheitsexperten von Bitdefender mit. Das tückische an dem Beapy/PCASTLE genannten Schadprogramm ist, dass es sich an das Nutzerverhalten des Spielers anpasst, um nicht entdeckt zu werden.

So deaktiviert der Schädling den ressourcenintensiven Mining-Prozess der Kryptowährung Monero mittels einer Prozessliste vorübergehend selbst, wenn bestimmte Anwendungen und Spiele gestartet werden.

Spielern fällt dadurch nur schwer auf, dass im Hintergrund ein ungewollter Prozess aktiv ist. Sobald die entsprechenden Spiele oder Programme beendet werden, nimmt die Malware die Arbeit wieder auf.

Unsichere Windows-Treiber - Software von AMD, Intel, Nvidia & Co mit großen Sicherheitslücken

Die Kombination aus Python und PowerShell macht Beapy/PCASTLE besonders gefährlich. (Bildquelle: Bitdefender)Die Kombination aus Python und PowerShell macht Beapy/PCASTLE besonders gefährlich. (Bildquelle: Bitdefender)

Die genaue Zahl an Spielen, die in der Prozessliste hinterlegt sind, verraten die Sicherheitsexperten zwar nicht, es soll sich aber in erster Linie um Titel wie League of Legends, Counter-Strike und GTA Vice City handeln - der Steam Game-Launcher befindet sich offenbar ebenfalls auf der Liste.

Beapy/PCASTLE kann außerdem sowohl CPU als auch GPU zum Minen nutzen.

Der Krypto-Miner deaktiviert sich zudem auch dann, wenn der Taskmanager aufgerufen wird, um beispielsweise die Auslastung des Systems zu überprüfen, weil dem Besitzer hochdrehende Lüfter aufgefallen oder Verzögerungen im Betrieb aufgetreten sind.

Apple - Spezielles iPhone und bis zu 1,5 Millionen Dollar für das Finden von Sicherheitslücken

Noch gefährlicher macht den Krypto-Miner die Kombination aus der Programmiersprache Python und dem plattformübergreifenden Framework PowerShell, die dem Schädling Wurm-ähnliche Eigenschaften verleiht. Dadurch können laut Bitdefender Schwachstellen wie EternalBlue genutzt werden.

Der Exploit, der Programmierfehler in der SMB-Implementierung von Windows nutzt, wurde ursprünglich von der NSA entdeckt und entsprechend verwertet.

Seit März 2017 bietet Microsoft zwar einen Patch zum Deaktivieren des SMBv1-Netzwerkprotokolls an, jedoch wurden auch in der Folgezeit weitere Angriffe verschiedenen Ursprungs auf Basis des EternalBlue-Exploits verzeichnet.

Treiber-Updater als Einfallstor

Beapy/PCASTLE treibt sein Unwesen vor allem in Indien und China, aber auch die USA und Deutschland sind betroffen. (Bildquelle: Bitdefender)Beapy/PCASTLE treibt sein Unwesen vor allem in Indien und China, aber auch die USA und Deutschland sind betroffen. (Bildquelle: Bitdefender)

Beapy/PCASTLE gelangt derzeit mittels einer modifizierten Komponente (DtlUpg.exe) des Treiber-Updaters DriveTheLife auf viele Systeme. Aber auch andere Programme dieser Art, die auf die selbe Infrastruktur zurückgreifen, sollen als Einfallstor genutzt werden.

Die Sicherheitslücke ist überdies bereits seit Dezember 2018 bekannt. Laut eigenen Angaben nahm Bitdefender die tiefer gehende Analyse daran im Mai 2019 auf.

Doch auch die Entwickler von Beapy/PCASTLE arbeiten fleißig an der profitablen Schadsoftware weiter - stetige Updates erschweren demnach die Entschlüsselung des schadhaften Codes.

Nach Meltdown & Co - Sicherheitslücken bei Intel-CPUs ab Ivy-Bridge

Lösung (in Sicht)?

Ob Virenscanner den Krypto-Miner erkennen (und beseitigen) können, ist uns nicht bekannt. Seitens Bitdefender handelt es sich (bislang) lediglich um eine technische Analyse des Codes.

Es scheint aber ratsam, zumindest vorerst auf DriveTheLife und andere Treiber-Update-Programme, die die betroffene Infrastruktur verwenden, zu verzichten.

Allerdings sei auch erwähnt, dass Beapy/PCASTLE keinen tatsächlichen Schaden am System anrichtet, es übernimmt und verwendet es lediglich missbräuchlich - in diesem Fall wird von »Cryptojacking« gesprochen. Eine hohe Stromrechnung könnte jedoch die Folge sein.

Gelöschte Daten, defekte Hardware - Wenn Spiele die vierte Wand durchbrechen 7:59 Gelöschte Daten, defekte Hardware - Wenn Spiele die vierte Wand durchbrechen


Kommentare(21)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklärst du dich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen