Suchen

Scripting Bitcoin oder Petro: Ahnungslose Surfer schürfen Crypto-Geld

| Redakteur: Jürgen Schreier

Immer mehr Internetnutzer erzeugen beim Besuch einer Website für Dritte Crypto-Währungen wie Bitcoin oder Petro - und oft wissen sie das gar nicht. Antiviren-Lösungen und Scriptblocker stoppen dieses unerwünschte Crypto-Mining.

Firma zum Thema

Basis für Cryptowährungen wie Bitcoin sind anspruchsvolle mathematische Verschlüsselungen. Um diese zu erzeugen, ist extrem viel Rechenkraft notwendig.
Basis für Cryptowährungen wie Bitcoin sind anspruchsvolle mathematische Verschlüsselungen. Um diese zu erzeugen, ist extrem viel Rechenkraft notwendig.
(Bild: Pexels / CC0 )

Crypto-Währungen auf Blockchain-Basis wie Bitcoin oder Petro beruhen auf komplexen mathematischen Algorithmen. Zur "Geldschöpfung" ist viel Rechenpower vonnöten. Diese kann beispielsweise in Server-Farmen produziert werden. da deren Betrieb jedoch teuer ist, lagen Webseitenbetreiber das Schürfen von Crypto-Währungen unbemerkt an Internet-Surfer aus.

Alles was es dazu bedarf, ist das Platzieren entsprechender Scripte auf einem Webserver. Daraus sind inzwischen erste Geschäftsmodelle entstanden. „Das bekannteste Beispiel ist derzeit Coinhive, ein Javascript, welches Webseitenbetreiber in ihrem Webangebot einbauen können“, sagt Patrick Koetter, Leiter der Kompetenzgruppe Anti-Abuse beim eco – Verband der Internetwirtschaft und CEO der sys4 AG. „Über die im Browser ausgeführten Rechenoperationen wird dabei die Crypto-Währung Monero erzeugt und ein so erzielter Gewinn an den Webseiten-Betreiber ausgezahlt.“

Patrick Koetter, Leiter der Kompetenzgruppe Anti-Abuse beim eco – Verband der Internetwirtschaft e. V. und CEO der sys4 AG: „Unternehmen empfehlen wir, künftig neben Auffälligkeiten bei den CPU-Leistungen auch auf Anomalien im Stromverbrauch zu achten.“
Patrick Koetter, Leiter der Kompetenzgruppe Anti-Abuse beim eco – Verband der Internetwirtschaft e. V. und CEO der sys4 AG: „Unternehmen empfehlen wir, künftig neben Auffälligkeiten bei den CPU-Leistungen auch auf Anomalien im Stromverbrauch zu achten.“
(Bild: eco )

Crypto-Mining als Geschäftsmodell

Der neue Crypto-Goldrausch hat auch vereinzelt Cyberkriminelle auf den Plan gerufen. Für sie scheint es ein lohnendes Geschäft zu sein, hoch frequentierte Webseiten mit einem Crypto-Miner zu infizieren. Ein bekanntes Beispiel aus jüngster Vergangenheit ist die Infektionen der offiziellen Webseite des Fußball-Stars Christiano Ronaldo. Der Aufwand dafür ist jedoch hoch, zumal stark frequentierte Seiten in der Regel besser geschützt sind.

Alternativ versuchen Cyberkriminelle, solche Scripte in Werbenetzwerken zu platzieren und so eine hohe Reichweite bei der Verbreitung der Schadsoftware zu erreichen. Der Versuch, das Werbenetzwerk einer Video-Plattform zu nutzen, flog kürzlich auf. Seitdem sind diese auf der Hut und prüfen Werbemittel noch intensiver auf entsprechende Crypto-Miner.

Eine weitere Möglichkeit stellt das Einbringen von Crypto-Minern in Unternehmensnetzwerke oder Rechenzentren dar. Vor Kurzem traf es einen einen Produzenten von Elektroautos. „Unternehmen empfehlen wir deshalb, künftig neben Auffälligkeiten bei den CPU-Leistungen auch auf Anomalien im Stromverbrauch zu achten“, sagt Koetter. Zwar verursacht das Platzieren von solcher Schadsoftware bei Unternehmen zunächst nur eine höhere Stromrechnung. Zugleich besteht aber das Risiko, dass Angreifer dieselben Sicherheitslücken ausnutzen, um andere Schadsoftware dort zu platzieren.

Crypto-Mining-Scripte erkennen und blockieren

Unternehmen können sich ebenso wie private Internetnutzer vor ungewolltem Crypto-Mining im Webbrowser schützen, indem sie ihre Systeme durch regelmäßige Updates aktuell halten und Antiviren-Lösungen oder Scriptblocker einsetzen. Diese sind inzwischen in der Lage, viele Crypto-Mining-Scripte zu erkennen und deren Ausführung zu verhindern.

Crypto-Miner mit Kill-List-Funktion entdeckt

Die Sicherheitsforscher haben erstmals einen Miner für Kryptowährungen entdeckt, der eine „Kill List“-Funktion enthält. Sie stoppt laufende Prozesse anderer Coinminer und versucht so die Rechenleistung zur Transaktionsverarbeitung eines infizierten Computers komplett für sich in Beschlag zu nehmen. Also quasi rivalisierende Miner auszuschalten. Xavier Mertens, Sicherheitsforscher beim ICS Sans, hält diesen Coinminer an sich aber für nichts Ungewöhnliches, sondern für eine der vielen neuen Malware-Varianten, die sich auf das Mining von Kryptowährungen spezialisiert haben und insbesondere seit Beginn dieses Jahres auftauchen. Seit Anfang 2018 hat sich die Cyberkrimininalität ganz offensichtlich von Ransomware verstärkt auf die Verteilung von Coinminern verlagert.

Dazu ein Kommentar von Marta Janus, Senior Threat Researcher bei Cylance: „Die meisten der derzeitigen Cyberbedrohungen konzentrieren sich auf Interaktionen mit den Daten eines Opfers. So werden entweder Daten und Anmeldeinformationen gestohlen oder die Dateien der Betroffenen verschlüsselt. Kryptomining-Malware funktioniert anders und wurde entwickelt um eine andere Art von Ressource zu missbrauchen, die physische. Das Mining von Kryptowährungen verbraucht enorme Rechnerleistungen. Damit sich das Ganze für Cyberkriminelle auch tatsächlich lohnt müssen sie soviel CPU-Leistung wie nur irgend möglich nutzen.

Gerade in jüngster Zeit konnten wir vermehrt Mining-Trojaner beobachten. Deshalb ist es für mich nicht überraschend, dass ein Angreifer mögliche Rivalen aus dem Feld schlagen will. Sprich, versucht, die Konkurrenz auf einem erfolgreich kompromittierten Rechner zu eliminieren. Neben dem Ausschalten bekannter Malware könnten die Angreifer allerdings auch versuchen Sicherheitslösungen abzuschalten. Glücklicherweise verfügen die meisten der aktuellen Anti-Malware Software-Lösungen über einen Selbstschutzmechanismus. Dieser verhindert, dass Sicherheitsprozesse über ein simples PowerShell-Kommando angehalten und entfernt werden können.

Obwohl Krypto-Miner für vertrauliche Daten weniger ein Risiko sind, bringen sie doch eine ganze Reihe anderer Probleme mit sich. Zum Beispiel verlangsamen sich die Rechnerprozesse oder komplette Workflows werden abgebrochen oder unterbrochen. Daher ist es immens wichtig die Infektion zu beseitigen sobald man von ihr weiß."

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45209482)