> > > > Mining-Plugins im Browser: Cryptominer arbeiten auch im Hintergrund weiter

Mining-Plugins im Browser: Cryptominer arbeiten auch im Hintergrund weiter

Veröffentlicht am: von

bitcoinDer anhaltende Mining-Boom, bzw. die steigenden Kurse bei den Kryptowährungen, vor allem des Bitcoin, hat dazu geführt, dass einige Seiten ein Plugin ausführen, welches die vorhandene Rechenleistung des Prozessors nutzt, um Kryptowährungen zu schürfen. Selbst bei nur kurzen Besuchen der entsprechenden Webseiten ergibt sich durch tausende oder gar millionenfache Webseitenaufrufe mit entsprechender Verweildauer eine gewisse Rechenleistung für den Betreiber der Webseite. Inzwischen sind 2.500 Seiten dokumentiert, die ein sogenanntes Drive-By Cryptomining durchführen.

Es handelt sich bei den entsprechenden Programmen aber nicht um einen klassischen Schädling, der sich auf dem System einnistet und dort verbleibt, sondern um temporäre Plugins, die bei Verlassen der Seite oder Beenden des Browser ebenfalls beendet werden.

Die Entwickler der Anti-Malware-Software Malwarebytes haben nun herausgefunden, dass die Betreiber inzwischen eine Methode entwickelt haben, welche die Mining-Software im Hintergrund weiterlaufen lässt – meist ohne das der Nutzer davon etwas bemerkt, auch wenn das Browserfenster geschlossen wird. Dazu wird ein Pop-Under-Fenster verwendet, welches hinter der Microsoft Windows Taskbar versteckt ausgeführt wird und sich zudem hinter der Anzeige der Uhrzeit versteckt. Wird die Taskbar verschoben bzw. deren Größe geändert, wird das versteckte Fenster wieder sichtbar.

Das versteckte Fenster beinhaltet weiterhin das Mining-Plugin und führt dieses weiter aus, so dass weiterhin Rechenleistung abgefragt wird. Im Falle des von Malwarebytes analysierten Fensters wird die Kryptowährung Monero geschürft.

Es gibt natürlich recht einfache Wege ein solches Fenster zu entdecken. So wird auch nach dem Schließen des Browserfensters weiterhin eine Instanz in der Taskbar angezeigt. Diese kann dann per Rechtsklick geschlossen werden. Wer aber mehrere Fenster und Tabs offen hat, wird dies dann nicht direkt bemerken. Eine weitere Methode ist das Öffnen des Task Managers. Hier wird der entsprechende Browser-Prozess dann mit einer ungewöhnlich hohen Last aufgeführt und kann beendet werden.

Die Entwickler von Anti-Maleware-Software und Webseitenbetreiber, die solche solche Methoden anwenden, befinden sich derzeit in einem Wettlauf einer gegenseitigen Erkennung und Umgehung der Erkennung eines solchen Minings im Hintergrund.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (10)

#1
customavatars/avatar137213_1.gif
Registriert seit: 13.07.2010

Flottillenadmiral
Beiträge: 5170
Egal wie man zur Thematik Kryptowährung steht.
Das geht mal gar nicht. Ich gehe auch davon aus, dass kaum eine der Seiten den Besucher darüber informiert.

Bestimmt noch eine rechtliche Grauzone, die aber direkt reguliert werden muss.
#2
customavatars/avatar226085_1.gif
Registriert seit: 07.08.2015
Athen
Oberleutnant zur See
Beiträge: 1412
kann man nicht einfach coinhive.com der hosts datei hinzufügen?
#3
customavatars/avatar200721_1.gif
Registriert seit: 19.12.2013
Freital
Matrose
Beiträge: 5
Zitat ProphetHito;25986844
kann man nicht einfach coinhive.com der hosts datei hinzufügen?


entweder die beiden domains coin-hive.com, coinhive.com in die hosts datei, in den video von semper video wird auch nochmal alles erklärt (Crypto-Mining Gegenmassnahmen)
#4
customavatars/avatar192294_1.gif
Registriert seit: 21.05.2013
in the middle of berlin
Kapitänleutnant
Beiträge: 1986
gibt es für ublock-origin dafür einen filter? (abgesehen von der hosts datei lösung)
#5
customavatars/avatar274990_1.gif
Registriert seit: 25.09.2017

Stabsgefreiter
Beiträge: 361
NoScript das wichtigste Addon!
:hail:
#6
Registriert seit: 18.04.2008

Obergefreiter
Beiträge: 104
Wenn es sauber programmiert ist, und, wie im Beitrag beschrieben, wirklich nur aktiv ist, solange man auf der Webseite verweilt, warum eigentlich nicht? Damit könnte sich die Webseite finanzieren, ohne mit Werbung zu nerven. Denn Werbung, gleich welcher Art, geht ja nun mal gar nicht.
#7
Registriert seit: 17.06.2009

Kapitänleutnant
Beiträge: 1709
Inzwischen gibt es Crypro Miner im Browser, die heimlich weiterlaufen.

https://www.heise.de/security/meldung/Drunter-statt-drueber-Kriminelle-nutzen-Pop-under-fuers-heimliche-Krypto-Mining-3906228.html
#8
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12438
Zitat Artabanos;26035937
Denn Werbung, gleich welcher Art, geht ja nun mal gar nicht.

Was zum Henker ist denn so schlecht an Werbung?
Bzw. wieso soll das schlechter sein, als die absolut ineffizienteste Methode coins zu minen?

@awehring
Yep, echt irre was so geht...
Ist allerdings ein paar Wochen alt. Hoffe mal MS fixt diese Lücke.

EDIT: Moment, der Artikel redet ja von was anderem.
Vor ein paar Wochen hatte ich die Meldung gelesen dass man offenbar Code mittels der Browser-Notification ausführen kann, aufgrund der Art und weise wie diese mit dem Betriebssystem zusammenarbeitet. Dieser bliebe dann ebenfalls aktiv nachdem man die Seite verlassen hatte.
#9
Registriert seit: 06.04.2012

Kapitänleutnant
Beiträge: 1835
Zitat DragonTear;26036406
Was zum Henker ist denn so schlecht an Werbung?


Alles, wenn nicht sogar das Doppelte.
#10
Registriert seit: 24.05.2012
Ilmenau
Kapitän zur See
Beiträge: 3424
Zitat Artabanos;26035937
Wenn es sauber programmiert ist, und, wie im Beitrag beschrieben, wirklich nur aktiv ist, solange man auf der Webseite verweilt, warum eigentlich nicht? Damit könnte sich die Webseite finanzieren, ohne mit Werbung zu nerven. Denn Werbung, gleich welcher Art, geht ja nun mal gar nicht.


Mich stört an Werbung vorallem eins: CPU-Last. Wären es nur ein paar Bilder, die angezeigt würden, würde ich nicht mal einen Werbeblocker nutzen. Aber diese Werbung durch CPU-Last zu ersetzen ist ja mal total lächerlich. Nicht jeder hat nen i7-Desktop, es gibt viele Leute da draußen mit sehr schwachen Maschinen, insbesondere ältere oder günstige Laptops und die sollen doch auch am Web teilnehmen dürfen oder?
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

Logo von IMAGES/STORIES/2017/DNS-1111

Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu... [mehr]

Schweizer ISP bietet 10 GBit/s für 34 Euro

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Während in Deutschland über eine flächendeckende Internetversorgung mit mindestens 50 MBit/s gesprochen wird und WLAN in Bussen bis 2050 diskutiert wird, sind andere Länder schon weiter. Die neue Bundesregierung hat zumindest schon einmal den Ausbau der digitalen Infrastruktur in den Fokus... [mehr]

AVM liefert FRITZ!Box 6591 Cable mit DOCSIS 3.1 aus

Logo von IMAGES/STORIES/2017/AVM

AVM hat damit begonnen, die ersten Exemplare der FRITZ!Box 6591 Cable auszuliefern. Der Hersteller hat seinen neusten Kabel-Router schon vor einigen Monaten vorgestellt und setzt diesen nun im Politbetrieb bei Unitymedia ein. Der Kabelnetzbetreiber hat in Bochum das Kabelnetz bereits auf den neuen... [mehr]

Landesmedienanstalt NRW fordert weitere Streamer auf Rundfunklizenzen zu...

Logo von IMAGES/STORIES/2017/LANDESMEDIENANSTALT

Die Landesmedienanstalt NRW verschickt aktuell wieder Briefe an Streamer im deutschen Bundesland. In der Vergangenheit wurden von der Behörde bereits bekannte Let‘s-Player wie Gronkh und PietSmiet aufgefordert eine Rundfunklizenz zu beantragen oder andernfalls mit hohen Bußgeldern zu... [mehr]

250 Megabit für 15 Millionen: Deutsche Telekom will Super-Vectoring zügig...

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Während die Bundesregierung den Internet-Ausbau weiter auf die lange Bank schieben will, möchte die Deutsche Telekom schneller als erwartet Fakten schaffen. Schon bis zum Jahresende sollen 15 Millionen Haushalte an das Super-Vectoring-Netz angeschlossen werden. Freuen dürfen sich vermutlich aber... [mehr]