Achtung: Ihr Microsoft OneDrive könnte von einem Krypto-Miner entführt werden

Die jüngste Ethereum-Fusion hat für die meisten Bergleute allgemein schlechte Nachrichten gebracht. So viele waren damit beschäftigt, ihre teuren GPUs loszuwerden, kurz bevor das passierte. Einige der anderen haben sich jedoch andere Möglichkeiten ausgedacht, um die Kosten für den Kauf teurer Mining-Ausrüstung zu umgehen. Und die schändlichen neigen dazu, Kryptojacking zu verwenden, bei dem sie heimlich den Computer des Opfers oder ein anderes Gerät verwenden, um Kryptomünzen zu schürfen.

Bei der jüngsten Entwicklung dieser Art entdeckte der Antivirus-Hersteller Bitdefender, dass Microsofts OneDrive von einer Gruppe von Angreifern für Kryptojacking-Zwecke verwendet wurde. Die Kampagne nutzte einen Exploit, um eine DLL (Dynamic Link Library) abzufangen oder eine Sideloading-Schwachstelle in OneDrive zu nutzen, um Operationen durchzuführen. Bitdefender überwachte die Kampagne zwischen Mai und Juli 2022, und in diesem Zeitraum wurden über 700 Fälle von Kryptojacking entdeckt, die ähnliche Exploits verwendeten.

Dem Bericht zufolge verlassen sich Angreifer auf die in böser Absicht geschriebene Datei secure32.dll , um die Systeme potenzieller Opfer zu infizieren. Es wird in %LocalAppData%\Microsoft\OneDrive\ gehostet , um zusammen mit nativen OneDrive-Prozessen geladen zu werden. Aus Schutzgründen haben die Angreifer den OneDrive.exe-Prozess so konfiguriert, dass er bei jedem Neustart ausgeführt wird. Nach der Infektion wird eine gefälschte Secure32-DLL-Datei verwendet, um Mining-Software auf das System des Opfers herunterzuladen.

Bitdefender erklärt:

Die Angreifer schreiben eine gefälschte secure32.dll in %LocalAppData%\Microsoft\OneDrive\ als Benutzer ohne erhöhte Rechte, die von einem der OneDrive-Prozesse (OneDrive.exe oder OneDriveStandaloneUpdater.exe) geladen werden.

Die Angreifer verwenden eine der OneDrive-DLLs, um das Speichern einfach zu sichern, da %LocalAppData%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe standardmäßig jeden Tag ausgeführt werden soll.

Um die Persistenz noch robuster zu machen, setzen die gefälschten Secure32.dll-Dropper auch %LocalAppData%\Microsoft\OneDrive\OneDrive.exe so, dass es bei jedem Neustart über die Windows-Registrierung ausgeführt wird.

Nach dem Laden in einen der OneDrive-Prozesse lädt die gefälschte secur32.dll Open-Source-Kryptowährungs-Mining-Software herunter und injiziert sie in legitime Windows-Prozesse.

Weitere Details zur Kampagne finden Sie im Originalbericht hier .