Googles Online-Werbeplattform DoubleClick wurde missbraucht, um Online-Werbeanzeigen mit verstecktem Krypto-Mining-Code auf eigentlich vertrauenswürdigen Webseiten zu schalten. Adblocker bannen die Gefahr. Die Anzeigen ermöglichen den Verursachern das unbemerkte Schürfen der Kryptowährung Monero in fremden Browsern. Hierbei kamen zwei verschiedene Varianten des JavaSript-Miners Coinhive zum Einsatz, die bis zu 80 Prozent der CPU-Leistung der Zielrechner beanspruchten.
Das Malvertising (aus Malware/schädliche Software und Advertising/Werbung) begann am 18. Januar und gipfelte am 24. Januar in einem plötzlichen Anstieg der bis zu diesem Zeitpunkt beobachteten Coinhive-Aktivitäten um 285 Prozent. Hinweise und Screenshots verschiedener YouTube-Nutzer belegen, dass der Mining Code etwa um diese Zeit auf der Videoplattform auftauchte.
Hey @avast_antivirus seems that you are blocking crypto miners (#coinhive) in @YouTube #ads
Thank you :)https://t.co/p2JjwnQyxz— Diego Betto (@diegobetto) January 25, 2018
Es sollen noch weitere Webseiten mit hohem Traffic-Aufkommen betroffen gewesen sein, konkrete Namen werden allerdings nicht genannt. Google wurde vom Sicherheits-Software-Hersteller Trend Micro über die Malvertising-Kampagne informiert, welche nach dem 24. Januar allmählich wieder abebbte.
Internetseiten mit einer langen Verweildauer sind geradezu prädestiniert für solche heimlichen Mining-Aktivitäten. Bereits im Dezember 2017 wurde von Adblocker Hersteller AdGuard in den Video-Playern der Streaming-Websites Openload, Streamango, Rapidvideo und OnlineVideoConverter eingebetteter Mining-Code entdeckt.
Auch der Missbrauch des frei verfügbaren Coinhive-Codes für kriminelle Aktivitäten ist nicht Neu. Neu ist nur die Auslieferungsstrategie des Codes über Werbenetzwerke als bequeme und auch effektive Alternative zum Einbau in eigene oder gehackte Webseiten.
Die Coinhive-Entwickler wollen ihren Code nach eigenen Angaben als Gegenentwurf zu lästigen Werbebannern verstanden wissen und stellen Mechanismen bereit, um Nutzer vor Beginn des Minings um Erlaubnis zu fragen.
Da Kriminelle diese Erlaubnis aber ignorieren, sind die meisten Sicherheitssoftware-Hersteller dazu übergegangen, den Coinhive-Code standardmäßig zu blockieren. Auch die Nutzung eines Adblockers – oder alternativ das Deaktivieren von JavaScript – schützt vor browserbasierten Mining-Aktivitäten.