Crypto miners: the rise of a malware empire - Coinhive

Kryptominer: Das Malware-Imperium schlägt zu

Generiert werden Kryptowährungen über das sogenannte Schürfen, auch bekannt als Mining. Bei diesem Verfahren löst ein Computer komplexe mathematische Gleichungen. Dieser Mining-Prozess ist von zwei Quellen abhängig, die ziemlich kostspielig sind: zuverlässige Energieversorgung und leistungsfähige Hardware.

Als die Preise für Kryptowährungen 2017 plötzlich in die Höhe schossen, war das Thema in aller Munde. Anfang 2017 lag der Wert eines Bitcoins bei 1.000 US-Dollar, Ende 2017 bereits bei 18.000 US-Dollar. Dieser extrem schnelle Wertzuwachs zog natürlich auch die Aufmerksamkeit von Kriminellen auf sich. Mit Kriminellen sind hier in erster Linie Malware-Autoren gemeint, aber nicht ausschließlich. Dazu später mehr.  Warum also riskieren diese Leute so unglaublich viel für die persönliche Bereicherung, selbst ihre Freiheit? Liegt das unstillbare Verlangen nach Geld einfach in der Natur des Menschen? Vermutlich kann diese Frage nur die Zeit beantworten. Fest steht einzig, dass die Bedrohung durch Cyberkriminalität so groß wie nie ist.

Dies lässt sich beweisen, indem man sich insbesondere das allgemeine Script „PUA/CryptoMiner.Gen“ ansieht. Im Januar 2018 wurden 1.893.300 Dateien von unserem Echtzeitschutz blockiert. Im Februar 2018 stiegt diese Zahl exponentiell auf 6.233.300 Dateien an und im März 2018 wurde mit erstaunlichen 11.453.200 Dateien die 10-Millionen-Marke geknackt. Avira entdeckte noch weitere Mining-Familien anhand von generischen Regeln, Signaturen oder CRC-Erkennungen.

Fokus auf Coinhive – Beschreibung und Funktionsweise

Wie bereits erwähnt, war es plötzlich möglich, eine riesige Menge Geld auf dem Markt für Kryptowährungen abzugreifen. Damit sich Nutzer mit bösen Absichten ihren Anteil an diesem Mining-Prozess sichern konnten, benötigten sie nur eine Idee. Diese Idee fanden sie leider im rechtmäßigen wie beliebten Browser-Mining-Service für Kryptowährungen mit dem Namen „Coinhive“. Diese Mining-Software ist JavaScript-basiert und kann ganz einfach von Administratoren in Webseiten integriert werden. Das Prinzip dieser Idee ist also kinderleicht – JavaScript lässt sich deshalb prima für Malware-Zwecke missbrauchen.

Coinhive tauchte erstmals im September 2017 auf und schürft nach Monero (XMR). Coinhive wurde ursprünglich als Alternative für Webseitenadministratoren entwickelt, um mit Werbung Umsätze zu generieren. Der Workflow umfasst das direkte Ausführen des Scripts im Browser des Besuchers und das anschließende Schürfen der Kryptowährung im Hintergrund, indem dabei die CPU-Leistung genutzt wird. Hacker machten sich allerdings den Dienst zunutze, um anonym und unbemerkt nach Kryptowährungen zu schürfen, sobald auf die Webseite zugegriffen wurde. Sie bauten dazu Coinhive in anfällige Webseiten ein. Das Opfer wurde natürlich nicht vorher um Erlaubnis gefragt, ob das für sie in Ordnung geht. Die Macht steckt dabei in den Zahlen: Je mehr Webseiten missbraucht werden, desto mehr eindeutige Besucher. Je mehr Besucher, desto mehr CPU-Leistung. Je höher die CPU-Leistung, desto mehr Krypto-Geld kann geschürft werden.

Aus der Sicht eines Hackers bedeutet dieses betrügerische Vorgehen, dass er wenig Ressourcen einsetzen muss, um einen Schatz mit Geld zu heben. Das ist der Grund, warum dieser Betrug immer beliebter wird. Was für Konsequenzen hat dies jedoch für die Opfer? Die Folgen können eine langsamere Leistung der Geräte, die von der CPU-Spitzenauslastung verursacht wird, bis hin zu einer kürzeren CPU-Lebensdauer durch Überhitzung sein. Ebenso kann sich die Zykluslebensdauer von Akkus verkürzen.

Hier findet ihr ein Beispiel eines JavaScript-Miners in seiner einfachsten Form:

Crypto miners: the rise of a malware empire - in-post / Coinhive

Die erste Zeile im Quellcode gibt an, dass der Browser des Opfers die JS-Datei von der Coinhive-Website herunterladen soll. In der Zeile mit der Miner-Variablen erhält Coinhive die Information, welches Konto nach der Kryptowährung Monero schürft. Der eindeutige Site-Schlüssel und die Zeile „miner.start“ lösen den Mining-Prozess sofort aus.

In solchen Scripts können selbstverständlich weitere Funktionen wie Threads und Drosselungen integriert werden:

Crypto miners: the rise of a malware empire - in-post

Drosselung ist im Prinzip die Regulierung der Geschwindigkeit, mit der die Anwendungsverarbeitung durchgeführt wird. Oder einfach gesagt: Die genutzte CPU-Leistung kann konfiguriert werden. Eine geringe Drosselung in Kombination mit einer höheren Anzahl von Threads hat eine größtmögliche Wirkung, da festgelegt werden kann, wie viel CPU-Leistung im Browser des Nutzers verwendet werden soll.

Vor einigen Monaten wurde die seriöse Website „blackberrymobile.com“ Opfer von Hackern, die Fans von Kryptowährungen waren.

Dadurch, dass man innerhalb kürzester Zeit und fast ohne Kostenaufwand unfassbar viel Geld verdienen kann, möchten nicht nur Hacker ein Stück vom Kuchen abbekommen. Die bekannte Torrent-Website „The Pirate Bay“ gehört zu diesen Websites, die den Coinhive-Code genutzt haben und vergessen haben, ihren Besuchern mitzuteilen, dass ihre Browser zum Schürfen von Kryptowährung verwendet werden. Diese Aktion wurde also nicht von Hackern, sondern vom Administrator der Website geplant.

Diese Art von Angriffen funktioniert auf allen möglichen Plattformen wie Windows, Linux und MacOS. Coinhive wurde außerdem für Mobilgeräte optimiert. So wurden im Google Play Store mehrere Apps gefunden, die diese Mining-Technologie nutzen. Das heimliche Schürfen beginnt dann sofort nach der Installation der App.

Zudem wurden auf YouTube einige böswillige Werbeanzeigen eingeblendet, nachdem es ein Angreifer geschafft hatte, ein Script zum Schürfen von Kryptowährung zu injizieren. YouTube wurde gottseidank auf dieses Problem aufmerksam und behob es in wenigen Stunden.

Wie könnt ihr euer Gerät vor solchen Angriffen schützen?

  • Verwendet eine Antivirensoftware: Avira ist zum Beispiel eine sehr bekannte App für Sicherheit, die solche Malware-Attacken erfolgreich erkennt und daher blockt.
  • Deaktiviert JavaScript komplett oder aktiviert es nur, wenn es absolut notwendig ist. Es wird empfohlen, das Script-Blocker-Tool „NoScript“ auszuführen, mit dem JavaScript schnell aktiviert und deaktiviert werden kann.
  • Mit dem Windows-internen Programm „Task-Manager“ (oder „Prozess-Explorer“) könnt ihr eure CPU-Auslastung regelmäßig überwachen und nachsehen, ob verdächtige Spitzen in der Auslastung auftreten. Wenn dies der Fall ist, könnte es sein, dass im Hintergrund ein Mining-Prozess stattfindet. Für Mac-Rechner gibt es die alternative App „Aktivitätsanzeige“.
  • Verwendet eine Browsererweiterung wie „No coin“, um Krypto-Miner zu blockieren. Sie funktioniert in Chrome und Firefox, wird aber in den Browsern Microsoft Edge, Apple Safari und Internet Explorer nicht unterstützt.

Persönliche Gedanken

Überlegen Sie es sich gut, ob Sie in eine Kryptowährung investieren möchten, da sich der Markt seiner Sättigung nähert. Bitcoin beispielsweise ist die älteste und teuerste Kryptowährung. Die Hochs und Tiefs des Bitcoins wirken sich auch auf den Status aller anderen Kryptowährungen aus.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

Virus Analyst