Dem Sicherheitsanbieter Eset ist ein spezieller Fang ins Netz gegangen: Mitarbeiter des Unternehmens entdeckten einen so genannten Krypto-Miner, der heimlich und ohne Wissen des Nutzers nach Krypto-Währungen wie Feathercoin, Litecoin und Monero schürft. Anders als bisherige Miner-Malware nutzt der neue Angriff aber nicht versteckte Windows-Software, sondern den Browser des Anwenders.
Laut Eset verwenden die Kriminellen dafür Javascript-Code, den sie auf bestimmten Webseiten einbauen, ohne dass der Besucher der Seiten es bemerkt. Teilweise nutzen sie auch manipulierte Banner, die über große Werbenetze auch auf eigentlich seriösen Webseiten auftauchen können. Diese Technik wird Malvertising genannt.
Versteckte Skripte gehen auf Lasten der CPU
"Es ist viel einfacher, eine signifikante Zahl von Opfern über infizierte Webseiten zu erreichen anstatt ihre Geräte gezielt anzugreifen", erklärt Matthieu Faou, Malware Researcher bei Eset. Nach seinen Angaben binden die Angreifer ihre Skripte vor allem in Webseiten mit hohen Besucherzahlen ein. Die meisten sollen sich in Russland, der Ukraine, Weißrussland, Moldavien und Kasachstan befinden.
Die Skripte funktionieren nur, solange ein Besucher eine Webseite auch wirklich im Browser geöffnet hat. In dieser Zeit schürft der Miner dann im Hintergrund nach einer Krypto-Währung. "Diese Methode ist zwar verglichen mit regulärer Mining-Software etwas ineffizienter, da sie 1,5 bis 2 mal langsamer ist - das wird allerdings durch die höhere Zahl betroffener Nutzer wieder ausgeglichen", so Faou. Besonders geeignet seien dafür Webseiten, die zum Streaming von Videos oder für Browser-Games genutzt werden.
Eset empfiehlt die Installation eines Werbe-Blockers wie uBlock Origin und/oder eines Skript-Blockers wie Noscript, um sich vor den heimlichen Schürfprogrammen zu schützen. Diese richten zwar keinen direkten Schaden an, belasten aber die Rechenleistung des betroffenen Computers. Eine ausführlichere Analyse hat Faou im Eset-Blog We live Security veröffentlicht. Dort findet sich auch der obige Screenshot, der zeigt, dass der Besuch einer manipulierten Webseite für eine starke Belastung der CPU führen kann.