Die zum Mining von Bitcoins und Co. nötige CPU-Leistung mit Hilfe von Malware von fremden Rechnern zu beziehen, ist eine schon lange bewährte Strategie. Zurzeit verlegt eine Malvertising-Kampagne im osteuropäischen Raum das Mining mit JavaScript direkt in den Webbrowser der Besucher von entsprechenden Internetseiten.
Im Rahmen dieser Kampagne nutzen Cyberkriminelle JavaScript, um damit Kryptowährungen wie Bitcoin oder Ethereum in den Browsern von Seitenbesuchern zu minen. Der Code der aktuellen Kampagne könne laut Sicherheitshersteller ESET zum Mining der Kryptowährungen Feathercoin, Monero und Litecoin verwendet werden; allerdings sei für letztere zum Zeitpunkt der Analyse kein Wallet festgelegt gewesen.
Werbeanzeigen und entsprechend kompromittierte Internetseiten
Zum Platzieren des Schadcodes missbrauchen die Performance-Räuber nach Angaben von ESET sowohl legitim eingekaufte Werbeflächen als auch kompromittierte Internetseiten. ESET entdeckte den Mining-Code nach eigenen Angaben erstmals vor ein paar Monaten. Betroffen sollen vor allem russisch- und ukrainischsprachige Internetseiten sein.
Das Besondere an diesem Fund sei die Tatsache, dass hier nicht wie sonst üblich Malware auf Rechnern installiert werde, um im Hintergrund CPU-Zeit fürs Mining abzugreifen. Hier setzten die Angreifer auf Websites mit genug Traffic darauf, um das Mining direkt in den Webbrowsern der Besucher durchzuführen.
Die Bündelung von Ressourcen auf so einer stark besuchten Seite gleiche das Performance-Defizit aus, das die JavaScript-Nutzung gegenüber schnellem, nativem Programmcode mit sich bringe. Bevorzugt geschehe dieser Missbrauch auf Seiten mit Video-Streams und Browser-Games, denn dort hielten sich Besucher relativ lange auf und würden auch wegen der höheren CPU-Auslastung nicht so schnell misstrauisch.
Der von ESET entdeckte, in Teilen auch obfuskierte JavaScript-Code werde beim Malvertising häufig erst nach mehreren unsichtbaren Weiterleitungen zusammen mit den Werbeanzeigen aufgerufen.
Vergleich mit älterem Miner-Code
Die Internetrecherchen des ESET-Teams nach einer hardgecodeten Feathercoin-Wallet-Adresse im JavaScript-Code führten zu einem Mining-Script mit der Bezeichnung „MineCrunch“. MineCrunch soll eine ältere Variante des aktuellen Codes sein, die schon Ende 2014 in einem Kryptowährungs-Forum zum Kauf angeboten wurde.
Das gerade laufende Revival dieser Vorgehensweise bietet Geschädigten im Vergleich zu lokal installierter Malware den „Vorteil“, dass sich der Missbrauch von Rechenleistung zum Beispiel mit Hilfe eines Adblockers leicht abwehren lässt.
Außerdem liegt nach dem Verlassen der präparierten Seite keinerlei Infektion im klassischen Sinne mehr vor, so dass auch eine umfassende Bereinigung des Computers nicht nötig wird.
