Zunahme von Browser Coin Mining
In letzter Zeit hat das Cryptocurrency Mining oder „Browser Coin Mining“ aus vielen verschiedenen Gründen zugenommen. Obwohl die Rechenleistung pro Instanz wesentlich geringer ist als die von dedizierter Hardware, können viele Benutzer an verschiedenen Standorten dies mehr als wettmachen. Es gibt bereits einige Medienberichte dazu, wie etwa von BBC und Malwarebytes.
Laut Angaben von Adguard werden derzeit allein durch Monero rund 500 Millionen PCs aus aller Welt für heimliches Krypto-Mining missbraucht. Palo Alto Networks sieht Cryptocurrency Mining in Browsern nicht generell als böswillig an. Oft erfolgt dies aber ohne die Zustimmung oder sogar das Wissen des Endbenutzers, was diese Praxis in eine Grauzone rückt und inakzeptabel macht.
Browser-Mining-Dienste
Coinhive, einer der populäreren Browser-Mining-Dienste, bietet Websitebetreibern ein Stück JavaScript zur einfachen Integration. Diese nutzen die CPU-Zeit der Websitebesucher, um XMRs (die Monero-Währung) für Coinhive zu gewinnen, und Coinhive zahlt 70 Prozent des ermittelten Werts an die Websitebetreiber aus. Ein neuer Akteur, der vor kurzem entstanden ist und ähnliche Dienste anbietet, ist Crypto-loot, hier werden 88 Prozent des Umsatzes ausgezahlt.
Auf der offiziellen Coinhive-Homepage hat Unit 42 eine detaillierte Dokumentation zur Integration der Mining-Skripte auf eine bestimmte Website gefunden. Die höhere Thread-Nummer und/oder die niedrigere Throttle-Nummer führen zu mehr CPU-Auslastung im Client-Browser. Die Forscher haben festgestellt, dass www.livetruemoney[.]com sogar bis zu 100 Prozenzt der CPU-Zeit des Benutzers verbraucht. Bei einem höheren Prozentsatz der CPU-Besatzung werden Endbenutzer wahrscheinlich ein schleppendes Verhalten und schlechte Erfahrungen auf den Websites feststellen.
Die Analyse von Coinhive
Unit 42 hat die Inklusion des Coinhive-Mining-Scripts (coinhive.min.js) in seinem PANDB Unknown Feed nachverfolgt. Basierend auf den Beobachtungen wurden die Scripts in drei Kategorien unterteilt: „standalone“, „freiwillig“ und „kompromittiert“. Unit 42 hat mehrere URLs gefunden, die sich auf Coin/Crypto/Mining-Stichwörter beziehen. Einige davon sind Foren, in denen das Crypto Mining diskutiert wird, während andere das Konzept vorstellen. Unabhängig vom Zweck der Websites haben die Forscher keine Beweise dafür gefunden, dass solche Websites die Zustimmung des Benutzers zum Mining von XMRs einholen.
Es ist durchaus möglich, dass Crypto Mining zusätzlich zu den traditionellen Umgruppierungen von Exploit-Kits zu einem neuen Angriffsinjektionstyp geworden ist. Aus den Beobachtungen geht auch hervor, dass Coin-Mining-Integrations-Scripts selten verschleiert werden, was bedeutet, dass Sicherheitsforscher den anonymen Site Key, also „Standortschlüssel“ und die Konfigurationen leicht extrahieren können. Laut Coinhives Dokumentation ist dieser Standortschlüssel eine eindeutige Kennung, die angibt, welcher Empfänger bezahlt wird. Daher hat der Angreifer keinen Anreiz, dieses Feld zu verschleiern.
Die Entstehung von Mining-Diensten
Wie AdGuard beschrieben hat, ist die Verwendung von Coinhive oder ähnlichen Mining-Diensten selbst keine schädliche Aktivität. Die Art und Weise, wie diese Dienste verwendet werden, macht diese Websites jedoch bösartig. Angesichts eines Bitcoin-Werts von aktuell über 6.000 US-Dollar ist zu erwarten, dass in nächster Zeit weitere solche Dienste in Erscheinung treten werden.
Wie kann man sich schützen?
Um sich vor dieser schnell wachsenden Bedrohung zu schützen, empfiehlt Palo Alto Networks die folgenden Möglichkeiten:
Palo Alto Networks blockiert URLs, die die Coinhive-JavaScript-Dateien über PANDB hosten, da diese Scripts Systemressourcen ohne das Wissen oder die Zustimmung der Benutzer verbrauchen.
Darüber hinaus blockieren beliebte Browser-Plugins wie Adblock plus oder Adguard solche Mining-Scripts. In Kombination mit einer Firewall-Lösung, können Benutzer sicher sein, dass Ihre CPU-Zeit und -Leistung nicht von hinterhältigen Scripts ausgenutzt werden.
Eine Analyse zu den „.bid“-, „.download“- und „.website“-Top-Domains, die Coinhive-Script-Dateien bereitstellen, findet sich hier.
Über Palo Alto Networks GmbH
Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.
Weiterführende Links:
researchcenter.paloaltonetworks.com: Unauthorized Coin Mining in the Browser
