Die Anti-Malware-Abteilung von Palo Alto Networks, Unit 42,  warnt vor nicht-autorisiertem Coin Mining im Browser. Kryptowährungen haben die Welt im Sturm erobert. Vom größten Player Bitcoin bis hin zu Neueinsteigern wie Monero und Ethereum ist „Cryptocurrency Mining“ zu einem begehrten Geschäft geworden. Dies ist zurückzuführen auf die leistungsstarke dedizierte Mining-Hardware und die parallele Rechenleistung von Grafikkarten.

In letzter Zeit hat das Cryptocurrency Mining oder „Browser Coin Mining“ aus vielen verschiedenen Gründen zugenommen. Obwohl die Rechenleistung pro Instanz wesentlich geringer ist als die von dedizierter Hardware, können viele Benutzer an verschiedenen Standorten dies mehr als wettmachen. Es gibt bereits einige Medienberichte dazu, wie etwa von BBC und Malwarebytes. Laut Angaben von Adguard werden derzeit allein durch Monero rund 500 Millionen PCs aus aller Welt für heimliches Krypto-Mining missbraucht. Palo Alto Networks sieht Cryptocurrency Mining in Browsern nicht generell als böswillig an. Oft erfolgt dies aber ohne die Zustimmung oder sogar das Wissen des Endbenutzers, was diese Praxis in eine Grauzone rückt und inakzeptabel macht.

Coinhive, einer der populäreren Browser-Mining-Dienste, bietet Websitebetreibern ein Stück JavaScript zur einfachen Integration. Diese nutzen die CPU-Zeit der Websitebesucher, um XMRs (die Monero-Währung) für Coinhive zu gewinnen, und Coinhive zahlt 70 Prozent des ermittelten Werts an die Websitebetreiber aus. Ein neuer Akteur, der vor kurzem entstanden ist und ähnliche Dienste anbietet, ist Crypto-loot, hier werden 88 Prozent des Umsatzes ausgezahlt.

Auf der offiziellen Coinhive-Homepage hat Unit 42 eine detaillierte Dokumentation zur Integration der Mining-Skripte auf eine bestimmte Website gefunden. Die höhere Thread-Nummer und/oder die niedrigere Throttle-Nummer führen zu mehr CPU-Auslastung im Client-Browser. Die Forscher haben festgestellt, dass www.livetruemoney[.]com sogar bis zu 100 Prozenzt der CPU-Zeit des Benutzers verbraucht. Bei einem höheren Prozentsatz der CPU-Besatzung werden Endbenutzer wahrscheinlich ein schleppendes Verhalten und schlechte Erfahrungen auf den Websites feststellen.

Unit 42 hat die Inklusion des Coinhive-Mining-Scripts (coinhive.min.js) in seinem PANDB Unknown Feed nachverfolgt. Basierend auf den Beobachtungen wurden die Scripts in drei Kategorien unterteilt: „standalone“, „freiwillig“ und „kompromittiert“. Unit 42 hat mehrere URLs gefunden, die sich auf Coin/Crypto/Mining-Stichwörter beziehen. Einige davon sind Foren, in denen das Crypto Mining diskutiert wird, während andere das Konzept vorstellen. Unabhängig vom Zweck der Websites haben die Forscher keine Beweise dafür gefunden, dass solche Websites die Zustimmung des Benutzers zum Mining von XMRs einholen.

Es ist durchaus möglich, dass Crypto Mining zusätzlich zu den traditionellen Umgruppierungen von Exploit-Kits zu einem neuen Angriffsinjektionstyp geworden ist. Aus den Beobachtungen geht auch hervor, dass Coin-Mining-Integrations-Scripts selten verschleiert werden, was bedeutet, dass Sicherheitsforscher den anonymen Site Key, also „Standortschlüssel“ und die Konfigurationen leicht extrahieren können. Laut Coinhives Dokumentation ist dieser Standortschlüssel eine eindeutige Kennung, die angibt, welcher Empfänger bezahlt wird. Daher hat der Angreifer keinen Anreiz, dieses Feld zu verschleiern.

Wie AdGuard beschrieben hat, ist die Verwendung von Coinhive oder ähnlichen Mining-Diensten selbst keine schädliche Aktivität. Die Art und Weise, wie diese Dienste verwendet werden, macht diese Websites jedoch bösartig. Angesichts eines Bitcoin-Werts von aktuell über 6.000 US-Dollar ist zu erwarten, dass in nächster Zeit weitere solche Dienste in Erscheinung treten werden.

Um sich vor dieser schnell wachsenden Bedrohung zu schützen, empfiehlt Palo Alto Networks die folgenden Möglichkeiten:

Palo Alto Networks blockiert URLs, die die Coinhive-JavaScript-Dateien über PANDB hosten, da diese Scripts Systemressourcen ohne das Wissen oder die Zustimmung der Benutzer verbrauchen.
Darüber hinaus blockieren beliebte Browser-Plugins wie Adblock plus oder Adguard solche Mining-Scripts. In Kombination mit einer Firewall-Lösung, können Benutzer sicher sein, dass Ihre CPU-Zeit und -Leistung nicht von hinterhältigen Scripts ausgenutzt werden.
Eine Analyse zu den „.bid“-, „.download“- und „.website“-Top-Domains, die Coinhive-Script-Dateien bereitstellen, findet sich hier.

via pressekontakt