Verstohlener Krypto-Miner nutzt NSA-Exploit und schläft beim Spielen

Beapy/PCASTLE deaktiviert sich, sobald Spiele oder leistungshungrige Programme gestartet werden und will so unbemerkt bleiben.

Alexander Köpf
24.09.2019 | 20:14 Uhr

Zwar stehen Spieler im Visier von Beapy/PCASTLE, aber auch jeder andere kann Opfer der Malware werden. (Bildquelle: Bitdefender) Zwar stehen Spieler im Visier von Beapy/PCASTLE, aber auch jeder andere kann Opfer der Malware werden. (Bildquelle: Bitdefender)

Eine neue Kombination aus Wurm und Krypto-Miner zielt besonders auf Gamer ab. Das teilten die Sicherheitsexperten von Bitdefender mit. Das tückische an dem Beapy/PCASTLE genannten Schadprogramm ist, dass es sich an das Nutzerverhalten des Spielers anpasst, um nicht entdeckt zu werden.

So deaktiviert der Schädling den ressourcenintensiven Mining-Prozess der Kryptowährung Monero mittels einer Prozessliste vorübergehend selbst, wenn bestimmte Anwendungen und Spiele gestartet werden.

Spielern fällt dadurch nur schwer auf, dass im Hintergrund ein ungewollter Prozess aktiv ist. Sobald die entsprechenden Spiele oder Programme beendet werden, nimmt die Malware die Arbeit wieder auf.

Unsichere Windows-Treiber - Software von AMD, Intel, Nvidia & Co mit großen Sicherheitslücken

Die Kombination aus Python und PowerShell macht Beapy/PCASTLE besonders gefährlich. (Bildquelle: Bitdefender) Die Kombination aus Python und PowerShell macht Beapy/PCASTLE besonders gefährlich. (Bildquelle: Bitdefender)

Die genaue Zahl an Spielen, die in der Prozessliste hinterlegt sind, verraten die Sicherheitsexperten zwar nicht, es soll sich aber in erster Linie um Titel wie League of Legends, Counter-Strike und GTA Vice City handeln - der Steam Game-Launcher befindet sich offenbar ebenfalls auf der Liste.

Beapy/PCASTLE kann außerdem sowohl CPU als auch GPU zum Minen nutzen.

Der Krypto-Miner deaktiviert sich zudem auch dann, wenn der Taskmanager aufgerufen wird, um beispielsweise die Auslastung des Systems zu überprüfen, weil dem Besitzer hochdrehende Lüfter aufgefallen oder Verzögerungen im Betrieb aufgetreten sind.

Apple - Spezielles iPhone und bis zu 1,5 Millionen Dollar für das Finden von Sicherheitslücken

Noch gefährlicher macht den Krypto-Miner die Kombination aus der Programmiersprache Python und dem plattformübergreifenden Framework PowerShell, die dem Schädling Wurm-ähnliche Eigenschaften verleiht. Dadurch können laut Bitdefender Schwachstellen wie EternalBlue genutzt werden.

Der Exploit, der Programmierfehler in der SMB-Implementierung von Windows nutzt, wurde ursprünglich von der NSA entdeckt und entsprechend verwertet.

Seit März 2017 bietet Microsoft zwar einen Patch zum Deaktivieren des SMBv1-Netzwerkprotokolls an, jedoch wurden auch in der Folgezeit weitere Angriffe verschiedenen Ursprungs auf Basis des EternalBlue-Exploits verzeichnet.

Treiber-Updater als Einfallstor

Beapy/PCASTLE treibt sein Unwesen vor allem in Indien und China, aber auch die USA und Deutschland sind betroffen. (Bildquelle: Bitdefender) Beapy/PCASTLE treibt sein Unwesen vor allem in Indien und China, aber auch die USA und Deutschland sind betroffen. (Bildquelle: Bitdefender)

Beapy/PCASTLE gelangt derzeit mittels einer modifizierten Komponente (DtlUpg.exe) des Treiber-Updaters DriveTheLife auf viele Systeme. Aber auch andere Programme dieser Art, die auf die selbe Infrastruktur zurückgreifen, sollen als Einfallstor genutzt werden.

Die Sicherheitslücke ist überdies bereits seit Dezember 2018 bekannt. Laut eigenen Angaben nahm Bitdefender die tiefer gehende Analyse daran im Mai 2019 auf.

Doch auch die Entwickler von Beapy/PCASTLE arbeiten fleißig an der profitablen Schadsoftware weiter - stetige Updates erschweren demnach die Entschlüsselung des schadhaften Codes.

Nach Meltdown & Co - Sicherheitslücken bei Intel-CPUs ab Ivy-Bridge

Lösung (in Sicht)?

Ob Virenscanner den Krypto-Miner erkennen (und beseitigen) können, ist uns nicht bekannt. Seitens Bitdefender handelt es sich (bislang) lediglich um eine technische Analyse des Codes.

Es scheint aber ratsam, zumindest vorerst auf DriveTheLife und andere Treiber-Update-Programme, die die betroffene Infrastruktur verwenden, zu verzichten.

Allerdings sei auch erwähnt, dass Beapy/PCASTLE keinen tatsächlichen Schaden am System anrichtet, es übernimmt und verwendet es lediglich missbräuchlich - in diesem Fall wird von »Cryptojacking« gesprochen. Eine hohe Stromrechnung könnte jedoch die Folge sein.

Gelöschte Daten, defekte Hardware - Wenn Spiele die vierte Wand durchbrechen Video starten 7:59 Gelöschte Daten, defekte Hardware - Wenn Spiele die vierte Wand durchbrechen

zu den Kommentaren (22)
Kommentare(18)
Kommentar-Regeln von GameStar
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Kommentare einblenden

Nur angemeldete Benutzer können kommentieren und bewerten.

Ich habe ein Konto
Kostenlos registrieren
Neueste zuerst
Älteste zuerst
Top Kommentare
Aktuelle News
alle anzeigen
GameStar sucht Tech-Autor (mwd) in Festanstellung mit + ohne Berufserfahrung - Jetzt bewerben!   9

vor 3 Tagen

GameStar sucht Tech-Autor (m/w/d) in Festanstellung mit & ohne Berufserfahrung - Jetzt bewerben!
The Witcher: Netflix verkündet das Ende der Serie, Liam Hemsworth bleibt nicht lange Geralt

vor 13 Minuten

The Witcher: Netflix verkündet das Ende der Serie, Liam Hemsworth bleibt nicht lange Geralt
Einer der meistgewünschten Militär-Shooter der Welt ist jetzt schon spielbar - zumindest für einige wenige   4     1

vor 2 Stunden

Einer der meistgewünschten Militär-Shooter der Welt ist jetzt schon spielbar - zumindest für einige wenige
Fallout-Fans sind überzeugt: Ein Detail der Serie bestätigt das Kanon-Ende für Fallout 4   5  

vor 3 Stunden

Fallout-Fans sind überzeugt: Ein Detail der Serie bestätigt das Kanon-Ende für Fallout 4
mehr anzeigen