Das Cryptocurrency-Mining-Partnerprogramm von Coinhive in den Browsern der Benutzer (und anderen JS-Minern) wird bei Cyberkriminellen immer beliebter. Ahnungslose Benutzer besuchen die Site - und bemerken nicht, dass die CPU-Auslastung stark ansteigt (Coinhive Miner Monero verwendet den CryptoNight-Algorithmus, der einen großen Speicherblock erstellt und interne Parallelität verhindert, sodass beim Mining die Verwendung von ASIC entfällt und am effektivsten ist CPU).
Angreifer hacken weiterhin Websites und hosten Mining-Skripte. Gleiches gilt für Browser-Erweiterungen. Vor kurzem haben sie den CryptoLoot Miner
sogar im Skript CookieScript.info implementiert , mit dem andere Websites auf Anfrage der Europäischen Union eine Warnung vor der Verwendung von Cookies anzeigen können. Dies ist der beliebteste kostenlose Dienst dieser Art. Er wird von Tausenden anderer Websites verwendet, andernfalls wird eine Geldstrafe von bis zu 500.000 US-Dollar von der Europäischen Union verhängt.
Man könnte die Aktivitäten der Angreifer mit einem Grinsen betrachten: Nun, wie viel werden sie dort in zwei Minuten generieren, die der Benutzer auf der Website ausgibt? Die Vergänglichkeit des Mining im Browser blieb der Hauptnachteil dieser Art von Malware. Experten von Malwarebytes Labs stellen jedoch
fest, dass die Eigentümer der "Mining Botnets" diesen Nachteil leider beseitigen konnten. Jetzt wird das Mining auf den Computern der Benutzer fortgesetzt, auch nachdem sie die infizierte Site verlassen haben. Und auch nach dem Schließen des Browsers.
Die Tests wurden im Google Chrome-Browser durchgeführt. Die
Animation zeigt, dass beim Schließen des Browsers mit einer normalen Site die CPU-Auslastung sofort auf etwa Null sinkt. Wenn Sie die Site jedoch mit dem integrierten Miner schließen, bleibt die CPU-Auslastung aus irgendeinem Grund auf dem gleichen Niveau von mehr als 60% (aus Gründen der Tarnung lädt der Miner den Prozessor nicht korrekt auf das Maximum).
Der Trick ist, dass Google Chrome trotz des sichtbaren Schließens des Browserfensters nicht geschlossen wird, sondern im Speicher bleibt. Die Malware öffnet
ein unsichtbares Popup- Fenster . Zugegeben, dies ist eine sehr kompetente Technik.
Die Koordinaten des Popup-Fensters werden so ausgewählt, dass sie sich
genau hinter der Uhr in der Taskleiste verbergen.
Die Koordinaten des Fensters können je nach Bildschirmauflösung auf dem Computer des Opfers geringfügig variieren, sie befinden sich jedoch hinter der Uhr. Es stimmt, es gibt eine Einschränkung. Wenn das Bedienthema ein Design-Thema mit Transluzenz hat, ist das Fenster hinter dem Bedienfeld immer noch leicht sichtbar (siehe Screenshot am Anfang des Artikels).
Sicherheitsexperten sind beim Besuch einer der Pornoseiten versehentlich auf diesen Trick gestoßen. Dort arbeitet das aggressive Werbenetzwerk Ad Maven, das
Werbeblocker umgeht und wiederum Ressourcen aus der Amazon-Cloud lädt. Dies ist eine Möglichkeit, den
Werbeblocker zu umgehen. Die .wasm-Schadlast selbst wird zwar nicht direkt von AWS geladen, sondern von einem Drittanbieter-Hosting.
Im
Skriptcode finden Sie einige Funktionen, die in der
Dokumentation des Coinhive Miner erwähnt werden . Beispielsweise wird überprüft, ob WebAssembly unterstützt wird. Mit dieser Technologie nutzt der Browser die Ressourcen der auf dem Computer installierten Hardware am besten. Wenn WebAssembly nicht unterstützt wird, wechselt der Miner zu einer langsameren JavaScript-Version (asm.js).
Wie oben erwähnt, steuert der Miner die Prozessorfrequenz nicht um 100%, sondern lädt sie mäßig, um lange Zeit leise zu arbeiten.
Angesichts dieses listigen Malware-Verhaltens ist es schwierig, sich ausschließlich auf Werbeblocker zu verlassen. Nachdem Sie den Browser geschlossen haben, müssen Sie noch überprüfen, ob der Browser aus der Taskleiste verschwunden ist, in der die laufenden Prozesse hängen. Wenn das Symbol jedoch an das Bedienfeld angehängt ist, sollte es nirgendwo verschwinden. Daher ist es für alle Fälle besser, nach dem Schließen des Browsers zu überprüfen, ob im Task-Manager keine laufenden Prozesse wie chrome.exe und dergleichen ausgeführt werden. Obwohl viele Benutzer heutzutage den Browser überhaupt nicht schließen. Die letzte Methode bleibt also - um die Prozessorlast ständig zu überwachen, empfehlen Experten von Malwarebytes Labs.
Sie veröffentlichen auch Infektionsindikatoren, um zu überprüfen, ob auf der Website nichts Besonderes angezeigt wurde:
145.239.64.86,yourporn[.]sexy,Adult site
54.239.168.149,elthamely[.]com,Ad Maven popunder
52.85.182.32,d3iz6lralvg77g[.]cloudfront.net,Advertiser's launchpad
54.209.216.237,hatevery[.]info,Cryptomining siteCryptonight WebAssembly-Modul:
fd472bd04c01a13bf402775441b0224edef4c062031e292adf41e5a5897a24bcEs ist unwahrscheinlich, dass eine mehr oder weniger technisch kompetente Person auf diese Weise getäuscht wird. Zumindest nicht lange. Es gibt jedoch eine große Anzahl von Benutzern, die nichts über Crypto Miner im Browser wissen, sodass solche Malware sehr beliebt werden kann.