Microsoft OneDrive: Cryptojacking-Kampagne mit DLL-Seitenladen

Bitdefender-Experten warnen vor einer Cryptojacking-Kampagne, die eine DLL-Seitenlade-Schwachstelle in Microsoft OneDrive ausnutzt. Bitdefender hat bereits 700 Angriffe auf Microsoft OneDrive im Mai und Juni 2022 entdeckt. Deutschland ist einer der am stärksten betroffenen.

Cryptojacking ist eine wachsende Gefahr: Hacker nutzen die Ressourcen infizierter Computer oder mobiler Geräte, um ihre Ressourcen für ihr eigenes Kryptomining zu verwenden. Im Mai und Juni 2022 entdeckte Bitdefender eine globale Angriffskampagne, bei der Cyberkriminelle bekannte DLL-Seitenlade-Schwachstellen in Microsoft OneDrive ausnutzen, um Kryptomining-Malware auf den Systemen der Opfer zu installieren. Im Prinzip könnten sie jede Malware herunterladen, die die Schwachstelle nutzt, einschließlich Malware.

Cryptomining-Malware über Schwachstelle

Das Windows-Betriebssystem und andere Anwendungen sind auf DLL-Dateien angewiesen, die Funktionen bereitstellen oder erweitern. Sobald eine Anwendung Funktionalität in einer bestimmten DLL benötigt, sucht sie diese in der vordefinierten Reihenfolge, zuerst im Verzeichnis, aus dem die Anwendung geladen wurde, dann im Systemverzeichnis, im 16-Bit-Systemverzeichnis, im Windows-Verzeichnis . Directory, in das aktuell verwendete Verzeichnis und neuerdings in die Verzeichnisse, die in der Umgebungsvariable Path aufgeführt sind. Wenn der vollständige Pfad der erforderlichen DLL-Dateien nicht angegeben ist, versucht die Anwendung, die Datei in den beschriebenen Pfaden zu finden. Wenn Hacker eine bösartige DLL in den Suchpfad implementiert haben, wird diese stillschweigend geladen und anstelle der Anwendung ausgeführt, die sie tatsächlich benötigt.

Laden Sie bösartige DLL-Dateien mit OneDrive.exe herunter

Bei dem von Bitdefender analysierten Angriff schreiben die Angreifer ohne besondere Rechte eine gefälschte secure32.dll in den Pfad %appdata%\Local\Microsoft\OneDrive\. OneDrive verarbeitet OneDrive.exe oder OneDriveStandaloneUpdater.exe und lädt sie dann hoch. Da %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe jeden Tag ausgeführt werden soll, sind die gefälschten DLL-Dateien jetzt dauerhaft auf dem System des Opfers vorhanden.

Außerdem verankern Angreifer die gefälschte DLL mithilfe von %appdata%\Local\Microsoft\OneDrive\OneDrive.exe im System. Konfigurieren Sie OneDrive.exe so, dass es bei jedem Neustart mit der Windows-Registrierung gestartet wird. Nach dem Laden der gefälschten secure32.dll durch diese OneDrive-Prozesse lädt sie die Cryptomining-Software neu und infiziert legitime Windows-Prozesse. Ebenso könnten Angreifer auch Ransomware oder Spyware auf Systemen installieren.

In der Cryptomining-Kampagne verbreiten Hacker Algorithmen, um vier Kryptowährungen zu schürfen: Etchasch im Besonderen sowie Ethash, Ton und Xmr. Im Durchschnitt erzielen Cyberkriminelle einen Gewinn von 13 US-Dollar pro infiziertem Computer. Opfer bemerken Verluste in der Systemleistung.

Microsoft: Installieren Sie OneDrive „pro Maschine“.

Benutzer können Microsoft OneDrive „pro Benutzer“ oder „pro Computer“ installieren. Die Standardeinstellung ist die Installation „pro Benutzer“. In dieser Einstellung können Benutzer ohne besondere Berechtigungen in den Ordner schreiben, in dem sich OneDrive befindet. Hacker können hier Malware ablegen, ausführbare Dateien modifizieren oder komplett überschreiben. Daher empfiehlt Microsoft die Installation von OneDrive „pro Maschine“ und stellt dazu eine Anleitung bereit.

Weitere Vorsichtsmaßnahmen sind erforderlich

Die Installation „pro Computer“ ist jedoch nicht für alle Umgebungen oder für alle Berechtigungsstufen geeignet. Daher mahnt Bitdefender OneDrive-Nutzer zu großer Vorsicht. Sowohl der Virenschutz als auch das verwendete Betriebssystem sollten immer auf dem neuesten Stand sein.

Erfahren Sie mehr unter Bitdefender.com

Über Bitdefender Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt mehr als 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen die Innovationen des Unternehmens für Privat- und Unternehmenskunden stets für exzellente Sicherheitsprodukte und intelligenten Schutz von Geräten, Netzwerken und Cloud-Diensten. Als bevorzugter Anbieter ist die Technologie von Bitdefender in 38 Prozent der weltweit eingesetzten Sicherheitslösungen zu finden und genießt das Vertrauen und die Anerkennung von Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de

Artikel zum Thema

Leave a Comment

Your email address will not be published. Required fields are marked *