Malvertising-Kampagne setzt auf Krypto-Mining in fremden Browsern
Fremde CPU-Leistung mittels Malware zum Mining von Bitcoins und Co. zu missbrauchen, ist eine altbewährte Strategie. Eine aktuelle Malvertising-Kampagne im osteuropäischen Raum verlegt das Mining per JavaScript direkt in den Webbrowser.
(Bild: pixabay.com)
Im Rahmen einer aktuellen Malware-Kampagne nutzen Cyberkriminelle JavaScript, um Kryptowährungen in fremden Browsern zu minen. Zur Platzierung des Schadcodes missbrauchen sie laut dem Sicherheitshersteller ESET sowohl legitim eingekaufte Werbeflächen als auch kompromittierte Websites. ESET entdeckte den Code nach eigenen Angaben erstmals vor einigen Monaten; betroffen seien vor allem russisch- und ukrainischsprachige Websites.
Das Ungewöhnliche an dem Fund sei die Tatsache, dass in diesem Fall nicht – wie sonst üblich – Malware auf Rechnern installiert werde, um im Hintergrund CPU-Zeit fürs Mining abzuzwacken. Stattdessen setzten die Angreifer auf Websites mit ausreichend Traffic, um direkt in den Webbrowsern der Besucher zu minen. Durch die damit einhergehende Bündelung von Ressourcen lasse sich das Performance-Defizit ausgleichen, dass die JavaScript-Nutzung gegenüber nativem Programmcode mit sich bringe. Bevorzugt geschehe dies auf Seiten mit Video-Streams und Browser-Games, da sich Besucher dort relativ lange aufhielten und angesichts höherer CPU-Auslastung nicht so schnell misstrauisch würden.
(Bild: ESET / www.welivesecurity.com)
Der von ESET entdeckte, teilweise obfuskierte JavaScript-Code werde beim Malvertising häufig erst nach mehreren unsichtbaren Weiterleitungen im Kontext der Werbeanzeigen aufgerufen. Er könne zum Mining der Kryptowährungen Feathercoin, Monero und Litecoin verwendet werden; allerdings sei für letztere zum Zeitpunkt der Analyse kein Wallet festgelegt gewesen.
Parallelen zu älterem Miner-Code
Internetrecherchen des ESET-Teams nach einer hardgecodeten Feathercoin-Wallet-Adresse im JavaScript führten zu einem Mining-Script namens MineCrunch. Dabei soll es sich um eine ältere Variante des aktuellen Codes handeln, die bereits Ende 2014 in einem Kryptowährungs-Forum zum Kauf angeboten wurde.
Generell sei die Idee, Kryptowährungen im Webbrowser zu minen, nicht neu: Bereits 2011 habe der Mining-Pool bitp.it mit dieser Vorgehensweise experimentiert. Auch das 2013 ins Leben gerufene Studentenprojekt TidBit sollte Webmastern ermöglichen, von der Rechenleistung ihrer Besucher zu profitieren, statt Geld mit Werbeanzeigen zu schalten. Da dies jedoch ohne deren Erlaubnis geschah, wurde das Projekt 2015 nach einem längeren Rechtsstreit eingestellt.
Das aktuelle Revival dieser Vorgehensweise bietet Betroffenen im Vergleich zu lokal installierter Malware den "Vorteil", dass sich die Gefahr mit Hilfe eines Adblockers leicht abwehren lässt. Zudem liegt nach dem Verlassen der präparierten Seite keinerlei Infektion im klassischen Sinne vor, so dass sich eine umfassende Bereinigung des Systems erübrigt. (ovw)
