Werbung
Der anhaltende Mining-Boom, bzw. die steigenden Kurse bei den Kryptowährungen, vor allem des Bitcoin, hat dazu geführt, dass einige Seiten ein Plugin ausführen, welches die vorhandene Rechenleistung des Prozessors nutzt, um Kryptowährungen zu schürfen. Selbst bei nur kurzen Besuchen der entsprechenden Webseiten ergibt sich durch tausende oder gar millionenfache Webseitenaufrufe mit entsprechender Verweildauer eine gewisse Rechenleistung für den Betreiber der Webseite. Inzwischen sind 2.500 Seiten dokumentiert, die ein sogenanntes Drive-By Cryptomining durchführen.
Es handelt sich bei den entsprechenden Programmen aber nicht um einen klassischen Schädling, der sich auf dem System einnistet und dort verbleibt, sondern um temporäre Plugins, die bei Verlassen der Seite oder Beenden des Browser ebenfalls beendet werden.
Die Entwickler der Anti-Malware-Software Malwarebytes haben nun herausgefunden, dass die Betreiber inzwischen eine Methode entwickelt haben, welche die Mining-Software im Hintergrund weiterlaufen lässt – meist ohne das der Nutzer davon etwas bemerkt, auch wenn das Browserfenster geschlossen wird. Dazu wird ein Pop-Under-Fenster verwendet, welches hinter der Microsoft Windows Taskbar versteckt ausgeführt wird und sich zudem hinter der Anzeige der Uhrzeit versteckt. Wird die Taskbar verschoben bzw. deren Größe geändert, wird das versteckte Fenster wieder sichtbar.
Das versteckte Fenster beinhaltet weiterhin das Mining-Plugin und führt dieses weiter aus, so dass weiterhin Rechenleistung abgefragt wird. Im Falle des von Malwarebytes analysierten Fensters wird die Kryptowährung Monero geschürft.
Es gibt natürlich recht einfache Wege ein solches Fenster zu entdecken. So wird auch nach dem Schließen des Browserfensters weiterhin eine Instanz in der Taskbar angezeigt. Diese kann dann per Rechtsklick geschlossen werden. Wer aber mehrere Fenster und Tabs offen hat, wird dies dann nicht direkt bemerken. Eine weitere Methode ist das Öffnen des Task Managers. Hier wird der entsprechende Browser-Prozess dann mit einer ungewöhnlich hohen Last aufgeführt und kann beendet werden.
Die Entwickler von Anti-Maleware-Software und Webseitenbetreiber, die solche solche Methoden anwenden, befinden sich derzeit in einem Wettlauf einer gegenseitigen Erkennung und Umgehung der Erkennung eines solchen Minings im Hintergrund.