Feuerfalke im Visier – Palo Alto Network ist dem Crypto-Mining-Trojaner „Rarog“ auf der Spur

Palo Alto Networks hat den Trojaner „Rarog“ unter die Lupe genommen. Der Name geht zurück auf einen Feuerdämon aus der slawischen Mythologie, der als feuriger Falke dargestellt wird. Rarog wird seit rund einem halben Jahr in verschiedenen Untergrundforen verkauft und seitdem von unzähligen Cyberkriminellen benutzt. Bis dato hat Palo Alto Networks rund 2.500 eindeutige Samples erfasst, die mit 161 verschiedenen C2-Servern (Command-and-Control) kommunizieren.

Rarog wird in erster Linie für Cryptocurrency Mining verwendet, um die Kryptowährung Monero zu „schürfen“, kann aber auch auf andere Kryptowährungen angesetzt werden. Der Trojaner ist mit einer Reihe von Funktionen ausgestattet, darunter die Bereitstellung von Mining-Statistiken für Benutzer, die Konfiguration verschiedener Prozessorlasten für den Running Miner, die Möglichkeit, USB-Geräte zu infizieren, und die Möglichkeit, zusätzliche DLLs auf die Hardware des Opfers zu laden. Die Beobachtungen zu Rarog stehen im Einklang mit den allgemeinen Trends in Bezug auf die rapide Zunahme von Cryptocurrency Mining. Darüber hinaus bietet Rarog eine kostengünstige Möglichkeit für neue Cyberkriminelle, Zugang zu dieser speziellen Art von Malware zu erhalten.

Bis heute hat Palo Alto Networks weltweit über 166.000 Rarog-Infektionen bestätigt. Rarog ist erstmals im Juni 2017 auf verschiedenen russischsprachigen kriminellen Untergrundseiten aufgetaucht. Die Malware wird seitdem für 6.000 Rubel, aktuell etwa 85 Euro, verkauft. Darüber hinaus wird von den Anbietern eine Testbenutzeroberfläche für Interessenten bereitgestellt.

Die Malware ist mit einer Reihe von Funktionen ausgestattet. Sie nutzt mehrere Mechanismen, um Persistenz auf dem Computer des Opfers aufrechtzuerhalten, einschließlich der Verwendung des „Run“-Registrierungsschlüssels, geplanter Tasks und Shortcut-Links im Startordner. Im Kern ist Rarog ein Coin-Mining-Trojaner und gibt den Angreifern die Möglichkeit, Mining-Software nicht nur herunterzuladen, sondern sie mit beliebigen Parametern zu konfigurieren. So sind die Angreifer auch in der Lage, die Mining-Software basierend auf den Eigenschaften der Opfermaschine leicht zu drosseln.

Darüber hinaus setzt Rarog eine Reihe von Botnet-Techniken ein. Der Trojaner ermöglicht den Angreifern typische Aktionen wie das Herunterladen und Ausführen anderer Malware, das Anwenden von DDoS-Angriffen gegen andere Ziele oder das Aktualisieren des Trojaners. Während der Ausführung der Malware werden HTTP-Anfragen an einen entfernten C2-Server gesendet.

Rarog ist insgesamt nicht besonders ausgeklügelt, bietet jedoch vielen Kriminellen einen einfachen Einstieg in das Betreiben eines Crypto-Mining-Botnets. Die Malware ist in den letzten neun Monaten relativ unbekannt geblieben. Da der Wert der verschiedenen Kryptowährungen weiterhin hoch ist, dürfte in nächster Zeit mit weiteren Malware-Familien mit Mining-Funktionen auf dem cyberkriminellen Parkett zu rechnen sein.