Atrax: Neues Exploit-Kit nutzt Tor zur Verbindung und stiehlt Bitcoins

Ein neues kommerzielles Exploit-Kit, das das anonyme Netzwerk Tor zur Verbindung mit seinen Steuerungsservern verwendet, macht die Runde in Hacker-Untergrundforen.

Obgleich das nicht die erste derartige Nutzung von Tor ist, so ist das Exploit-Kit mit dem Namen Atrax doch kostengünstig und verfügt über eine Vielzahl von verschiedenen Funktionen, inklusive Datenextraktion aus dem Browser, Bitcoin-Mining und die Durchführung von DDoS-Attacken.

Benannt nach einer australischen Spinnen-Unterart wird Atrax für etwa 250 Dollar (ausschließlich in Bitcoins) verkauft, was es zu einem der erschwinglichsten Exploit-Kits überhaupt macht. Laut Jonas Mønsted von der dänischen Sicherheitsfirma CSIS, der das Kit gerade eingehend in einem Blogeintrag beschrieben hat, kommt Atrax mit einigen Add-ons daher, inklusive einem Plugin-Dieb ($110), einem experimentellen Add-on zum Bitcoin-Schürfen ($140), sowie einem Form Grabber – einem Programm also, das Daten aus Webformularen direkt aus dem Browser stiehlt – für 300 Dollar.

Einige der Ergänzungen, insbesondere der Form Grabber, kosten zwar mehr als das gesamte Exploit-Kit, doch Atrax bietet kostenlose Updates, Support und Bugfixes – Anreize, die Cyberkriminelle durchaus locken.

In seiner Analyse schreibt Mønsted, dass “die Kommunikation über Tor verschlüsselt wird, so dass Atrax keiner zusätzlichen Chiffrierung bedarf”, und dass das Exploit-Kit keine “verdächtigen Windows API-Funktionen nutzt.”

Der Autor des Kits behauptet, dass die Größe von Atrax (1,2 MB) der „TOR-Integration und dem x64/x86-Code geschuldet sei“.

Der Plugin-Dieb verfügt anscheinend über eine umfassende Funktionalität – nach Angaben des Autors ist er in der Lage, Informationen aus Chrome, Firefox, Safari, Internet Explorer und Opera zu stehlen.

Atrax richtet sich unter anderem auch gegen die aufstrebende Welt der Bitcoins: Wie der Autor des Kits bestätigt, ist dieses in der Lage, Informationen aus den Bitcoin-Wallets der Anwender zu stehlen (wie etwa, Bitcoin-Qt, Electrum und Multibit) und auch Bitcoins und das weniger bekannte Pendant, Litecoins, zu schürfen.

CSIS noch nach einem aktiven Atrax-Samples sucht, doch es scheint in vielerlei Hinsicht anderen, erst kürzlich entdeckten Botnetzen und schädlichen Tools zu ähneln, die ebenfalls Tor zur Ausbreitung nutzen.

Mevade, eins der populärsten auf Tor basierenden Botnetze, erhielt unerwünschte Publicity, als es Ende des Sommers auf das anonyme Datentransferprotokoll umstellte. Die enorme Zunahme der Tor-User von 500.000 auf 2,5 Millionen im August trug dazu bei, das Botnetz zu entdecken – allerdings nicht, es zu zerstören.

Durch seine Aktivität reichte Mevade, wie später im September von Microsoft festgestellt wurde, auch dem schon lange tot geglaubten Malware-Stamm Sefnit eine helfende Hand. Er erwachte zu neuem Leben, nachdem sein Autor eine neue Komponente zur Durchführung von Klick-Betrug gefunden hatte

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.