Drunter statt drüber: Kriminelle nutzen Pop-under fürs heimliche Krypto-Mining

Eine von Sicherheitsforschern entdeckte Krypto-Mining-Strategie schiebt Nutzern versteckte Browserfenster unter. Mit ihnen lässt sich klammheimlich noch mehr virtuelles Geld scheffeln.

In Pocket speichern vorlesen Druckansicht 51 Kommentare lesen
Drunter statt drüber: Kriminelle nutzen Pop-under fürs heimliche Krypto-Mining

(Bild: pixabay.com)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Heimliches Krypto-Mining im Browser ist ein schon seit Monaten anhaltender Trend. Dabei zwacken in Webseiten eingebaute Mining-Scripts ohne Einwilligung des Opfers CPU-Leistung zum Schürfen von Kryptowährungen ab. Um dies auch dann noch tun zu können, wenn der Nutzer bereits die nächste URL ansteuert, nutzen einige Seitenbetreiber mit kriminellen Ambitionen gut versteckte Browserfenster. Sicherheitsforscher von Malwarebytes haben diese Technik in einem Blogeintrag am Beispiel einer Porno-Webseite beschrieben. Angaben zu weiteren betroffenen Domains oder zur allgemeinen Verbreitung machen sie nicht.

Auf der Seite yourporn.sexy entdeckten die Forscher ein Mining-Script in einem so genannten Pop-under. Das ist eine Pop-up-Variante, die sich nicht über das aktuelle Browserfensters legt, sondern unsichtbar dahinter öffnet. Um sich auch dann vor dem Webseiten-Besucher zu verstecken, wenn dieser das Hauptfenster des Browsers minimiert, ermittelt das auf youporn.sexy aktive Pop-under die Bildschirmauflösung. Anschließend nimmt es die exakte Größe und Position der Taskleiste an und verbirgt sich darunter.

Der Mining-Prozess läuft laut der Forscher über das so genannte Ad Maven Network. Dieses ruft im Kontext des Pop-unders weitere Domains auf. Wechselt der Nutzer im Hauptfenster des Browsers von youporn.sexy auf eine andere Webseite, bleibt das Pop-under aktiv und setzt das Krypto-Mining fort – mit moderater CPU-Nutzung, damit die Tarnung nicht auffliegt.

Ist die Taskleiste dank des ausgewählten Windows-Themes transparent, kann man das darunterliegende Pop-under laut Malwarebytes zumindest erahnen. An einem Detail könne man es allerdings in jedem Fall erkennen – nämlich am Browser-Icon in der Taskleiste, das auch dann noch als aktiv gekennzeichnet bleibt, wenn der Nutzer glaubt, alle Fenster geschlossen zu haben. Per Rechtsklick auf das Icon ("Fenster schließen") oder durch Beenden des Browser-Prozesses im Taskmanager kann er den verborgenen Mining-Aktivitäten ein Ende setzen.

Die von den Forschern beschriebene und ähnliche Strategien zum heimlichen Mining laufen aktuellen Bemühungen einiger Entwickler zuwider, Mining mit Zustimmung der Webseiten-Besucher als Alternative zu Werbeanzeigen zu etablieren. Erst kürzlich hat der bekannte Mining-Script-Anbieter Coinhive das Projekt AuthedMine gestartet, das Nutzer grundsätzlich um Erlaubnis fragt, bevor es sich der Rechenleistung ihrer Computer bedient. Ob hinter diesem Ansatz wiederum tatsächlich nutzerfreundliche Absichten und nicht ausschließlich finanzielle Interessen stecken, wissen nur die Entwickler selbst. (ovw)