Werbeplattform liefert Krypto-Miner aus

Heimliche Krypto-Miner werden üblicherweise von Website-Betreibern selbst eingebaut – oder von Hackern, die sich Zugang verschaffen und ein Skript einschleusen. Die Sicherheitsfirma Check Point stieß jetzt auf ein Werbenetzwerk, das einen Krypto-Miner über eine vielbesuchte Website auslieferte und dabei weder dessen Betreiber noch die Nutzer informierte.

Entdeckt wurde der so eingeschleuste Miner auf dem beliebten Online-Wörterbuch Morfix für Hebräisch – Englisch, das in Israel und weltweit beliebt ist. Mit der Krypto-Mining-Malware waren somit Zehntausende, wenn nicht Hunderttausende Nutzer zu erreichen. Dabei überprüfte ein Script zunächst, ob der Nutzer einen Adblocker installiert hatte. In diesem Fall entgingen der Werbeplattform erhoffte Einnahmen durch Inserate – und sie ließ stattdessen im Hintergrund ein Script für Krypto-Mining laufen.

Der auf JavaScript basierende Code wandelte die CPU-Leistung der Besucher offenbar in Monero Coins um. Das ließ die CPU-Auslastung auf fast 50 Prozent hochschnellen – während andere Tabs nur etwa 1,2 Prozent verlangten. Bei anderen Fällen beschwerten sich Nutzer über eine hohe CPU-Auslastung von bis zu rund 80 Prozent durch versteckte Miner. Da nur die CPU genutzt wird, ist das Mining zudem wenig effektiv – was aber viele nicht davon abhält, in dieser fragwürdigen Weise auf fremde Systemressourcen zuzugreifen. Um dem Einhalt zu gebieten, integriert Opera einen Blocker gegen Bitcoin-Mining.

Die Sicherheitsforscher von Check Point baten Morfix um eine Stellungnahme und erfuhren, dass das Mining von einem Werbenetzwerk ohne Wissen oder Zustimmung der Site-Betreiber durchgeführt wurde. Der Code wurde umgehend von der Website entfernt und eine interne Untersuchung mit dem Werbeanbieter eingeleitet.

Heimliches Krypto-Mining kann aber auch von Browsererweiterungen ausgehen, wie ein von BleepingComputer entdecktes Beispiel eben wieder zeigt. Die Chrome-Erweiterung Archive Poster, die beim Veröffentlichen von Tumblr-Beiträgen helfen will und über mehr als 100.000 Nutzer verfügt, setzte ungefragt Coinhive ein. Dieser Krypto-Miner versteckt sich auch bereits auf über tausend Webseiten, wie ein Onlineprojekt herausfand. Er lastet die CPU teils bis zum Maximum aus, erhöht also die Leistungsaufnahme und reduziert bei mobilen Geräten die Akkulaufzeit.

In ganz ähnlicher Weise fiel schon die Chrome-Erweiterung SafeBrowse mit über 140.000 Nutzern auf, die die Entfernung besonders lästiger Werbeformen versprach, aber im Hintergrund ebenfalls einen versteckten Krypto-Miner ausführte. Hier bewirkte das mit einem Update eingeschleuste JavaScript-Modul eine drastisch erhöhte CPU-Auslastung, die etwa von 20 auf 80 Prozent anstieg. Diese Vorfälle lenken einmal mehr die Aufmerksamkeit auf Googles problematisches automatisches Prüfungsverfahren für Chrome-Erweiterungen und ihre Updates, mit dem das heimliche Einschleusen von Krypto-Minern nicht verhindert wird.