Heimliches Mining nimmt zu
15. Dezember 2017Der Hype um Kryptowährungen erreicht zunehmend auch ahnungslose Webseitenbesucher. Sophos hat einen starken Anstieg des heimlichen Kryptowährungen-Schürfens auf privaten Computern ausgemacht und geht davon aus, dass die Nutzung privater Geräte sich in 2018 fortsetzen und auch zunehmend neue Spielarten hervorbringen wird:
- JavaScript-Anwendung des Anbieters Coinhive schürft heimlich die Kryptowährung Monero (XMR)
- Webseitenbetreiber verdienen an Rechenleistungen auf Besucher-Computern
- Webseitenbesucher registrieren u.a. Verlangsamung der Rechnerleistung, erhöhte Wärmeentwicklung und kürzere Akkuleistungen
- Neue Varianten von IoT-Botnetzen wie Mirai beginnen, IoT-Geräte für das Mining von Bitcoins zu nutzen
„Immer mehr Akteure wollen am Bitcoin-Hype mitverdienen – und ahnungslose Webseitenbesucher sind in diesem Fall die Leidtragenden: Seit September 2017 beobachten wir, dass bei dem Besuch vieler Webseiten die Prozessorlast des eigenen Rechners aus zunächst unerfindlichen Gründen auf 100 Prozent hochschnellt. Der Grund dafür ist, dass beim Besuch der Webseite eine in JavaScript geschriebene Anwendung des Anbieters Coinhive heruntergeladen und gestartet wird, die dann im Hintergrund läuft und die Kryptowährung Monero (XMR) schürft. Unter Schürfen einer Kryptowährung versteht man dabei das rechenintensive Lösen mathematischer Aufgaben mit dem Ziel, neu herausgegebene Einheiten einer Kryptowährung zu erhalten.
Der Betreiber der Webseite erhält für die auf den Rechnern der Webseitenbesucher geleisteten Rechenoperationen von Coinhive Geld. Die Konsequenz für den Besucher der Webseite ist, dass sein Rechner langsamer ist, und gerade bei Notebooks sich die Wärmeentwicklung erhöht und die Akkulaufzeit reduziert.“ Kommentiert Michael Veit, Security Evangelist bei Sophos
Prinzipiell ist es ein legitimes Vorgehen, dass der Betreiber einer Webseite die Rechenleistung des Computers des Besuchers als Bezahlung für die (dann beispielsweise werbefreie) Nutzung einer Webseite verlangt – sofern der Besucher darauf hingewiesen wird. Es gibt zwar Webseiten, die entsprechende Meldungen anzeigen und teilweise auch die Nutzung des Prozessors auf einige Sekunden oder Minuten begrenzen – aber in den allermeisten Fällen ist das nicht der Fall. Oft handelt es sich bei Webseiten mit Coinhive-Skripten um halbseidene oder illegale Angebote, wie Börsen oder Download-Portale für Software und Videos.
Coinhive-Skripte wurden aber auch schon auf seriösen Webseiten gefunden. Nicht in jedem Fall war und ist dabei klar, ob dies mit Absicht seitens des Webseitenbetreibers geschah oder ob die Webseite Opfer von Malvertising- oder Hacking-Angriffen wurde.
FAH / Sophos