Krypto-Mining: Kriminelle nutzen Pop-under für heimliches Mining

Sicherheitsforscher haben eine neuen Strategie entdeckt, mit denen Kriminelle andere Nutzer im Internet versteckt Krypto-Währungen scheffeln lassen. Über ein Pop-under Browserfenster wird heimlich etwas Rechenleistung der betroffenen Computer für das Errechnen von Krypto-Währungen abgezweigt.

Dieser Trend hält seit einigen Monaten an und tritt zur Zeit verstärkt auf. Ohne Einwilligung der Opfer werden die Computer über in Webseiten eingebaute Mining-Scripts zum Schürfen von Kryptowährungen wie Bitcoin verwendet.

Krypto-Mining: Kriminelle nutzen Pop-under für heimliches Mining

Damit das Mining-Script auch weiterhin funktioniert, wenn der Nutzer die nächste Webseite ansteuert, setzen die Seitenbetreiber auf gut versteckte Browserfenster. Die Sicherheitsforscher von Malwarebytes haben diese Technik in einem Blogeintrag am Beispiel einer Porno-Webseite beschrieben. Welche weitere Domains betroffen sind, nennen die Sicherheitsforscher leider nicht.

Die Sicherheitsforscher entdeckten auf der Seite yourporn.sexy ein verstecktes Mining-Script in einem Pop-under. Dabei handelt es sich um Browserfenster, die nicht über das aktuelle Fenster gelegt werden, sondern sich im Hintergrund unbemerkt öffnen.

Damit der Nutzer davon nichts merkt, ermittelt das Pop-unter von youporn.sexy die Bildschirmauflösung des Benutzers. Anschließend nimmt es die exakte Größe und Position der Taskleiste an und verbirgt sich dahinter.

Das Krypto-Mining erfolgt über das Ad Maven Network. Über das Pop-under werden weitere Domains aufgerufen. Wechselt der Benutzer von youporn.sexy auf eine andere Webseite, bleibt das Pop-under im Hintergrund aktiv und setzt den Mining-Prozess fort. Dabei wird nur moderat CPU-Leistung abgezweigt um nicht aufzufallen.

Wie erkennt man das heimliche Krypto-Mining?

Verwendet das Windows-Theme eine transparente Taskleiste, könnte man das darunterliegende Pop-under wenigstens erahnen.

Auf jeden Fall erkennt man, wenn das Browser-Icon in der Taskleiste als aktiv gekennzeichnet bleibt, obwohl vermeintlich alle Browserfenster geschlossen wurden. Mit einem Rechtsklick auf das Icon -> Fenster schließen oder durch Beenden des Browser-Prozesses im Taskmanager kann der verborgene Mining-Prozess beendet werden.

Persönliche Meinung

Das versteckte Krypto-Mining kommt für einige Entwickler zu einer ungünstigen Zeit. Aktuell gibt es Versuche, Webseiten anstatt über Werbung über Krypto-Mining zu finanzieren. Der Mining-Script-Anbieter Coinhive hat beispielsweise das Projekt AuthedMine gestartet. Besucher sollen dabei aktiv um Erlaubnis gefragt werden, bevor Rechenleistung des Computers für Krypto-Mining verwendet wird.

Kommentar verfassen