Malwarebytes: Crypto-Miner versteckt sich hinter Windows-Taskbar

Malwarebytes macht auf einen neuen browserbasierten Crypto-Miner aufmerksam, der Techniken von unerwünschter Online-Werbung übernimmt, um unbemerkt PC-Ressourcen für das Mining von Kryptowährungen zu missbrauchen. Die JavaScript-basierte Coinhive-Variante öffnet ein sogenanntes Pop-under-Fenster, das hinter der Windows Taskleiste platziert wird , um unentdeckt zu bleiben.

Normalerweise lassen sich Miner auf Websites, die den Coinhive-Dienst nutzen, deaktivieren, indem der Browser geschlossen wird. “Der Trick ist, dass obwohl alle sichtbaren Browserfenster geschlossen sind, es ein verborgenes Fenster gibt, das offen bleibt”, schreibt Jerome Segura, Sicherheitsforscher bei Malwarebytes, in einem Blogeintrag. “Das passiert aufgrund eines Pop-under, das so groß ist, dass es genau hinter die Taskbar passt und sich hinter der Uhr versteckt.”

Coinhive war ursprünglich als Alternative zu Online-Werbung entwickelt worden. Statt Nutzer mit Anzeigen zu nerven, “spenden” sie während des Besuchs einer Website einen Teil ihrer Rechenleistung, um Bitcoins zu schürfen, die dem Unterhalt des Online-Angebots dienen. Bekannt wurde diese Praxis unter anderem durch den Torrent-Tracker The Pirate Bay, der Coinhive in seine Seite integrierte und versehentlich die Prozessoren seiner Besucher zu 100 Prozent auslastete. Inzwischen werden JavaScript basierte Miner aber auch von Websites eingesetzt, die weiterhin Werbung einblenden, oder die von Cyberkriminellen kompromittiert wurden.

Obwohl Miner rein technisch betrachtet keine Schadsoftware sind, werden sie inzwischen von den Sicherheitslösungen verschiedener Anbieter als unerwünschte Anwendungen eingestuft und blockiert. Oftmals greifen sie nämlich ungefragt und ohne Wissen des Nutzers auf die PC-Ressourcen zu. Auch Adblocker blocken den Coinhive-Code.

Der jetzt von Malwarebytes entdeckte Miner versucht unentdeckt zu bleiben, indem er die CPU-Nutzung auf 50 Prozent beschränkt. Zudem sind Pop-under-Fenster eine Technik, die von Werbeblockern häufig nicht unterbunden werden kann.

Windows-Nutzer können sich vor dieser Technik schützen, indem sie die Transparenzeffekte für die Taskleiste aktivieren. Dadurch werde das hinter der Uhr versteckte Fenster enttarnt, ergänzte Segura. Der Task-Manager gebe zudem Auskunft über Browserprozesse mit einer hohen CPU-Auslastung, die in dem Fall beendet werden sollten.

Segura geht davon aus, dass sogenanntes Drive-by-Mining, also verdeckt arbeitende Crypto-Miner, populär bleiben. “Erzwungenes Mining ist eine schlechte Angewohnheit und alle Tricks wie die, die in diesem Blogeintrag beschrieben wurden, werden nur das Vertrauen in Crypto-Mining als Alternative zu Online-Werbung schwächen.”

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

3 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

3 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

5 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

6 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

7 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

7 Tagen ago