Der vom Bitcoin ausgelöste Hype um Kryptowährungen treibt allerlei kuriose Blüten. In der Hoffnung auf weitere Kursexplosionen geben manche Hausbesitzer ihr Eigenheim in Pfand, während ein beliebtes Spiel rund um digitale Katzenzucht die Blockchain der heuer ebenfalls stark gewachsenen Kryptowährung Ethereum verstopft.

Doch auch sinistre Zeitgenossen wollen von dem Run profitieren und greifen dabei zu unlauteren Mitteln. Seit diesem Herbst gibt es ein neues Phänomen: das "Cryptojacking". Internetnutzer werden dabei unfreiwillig zum Geldlieferanten für Unbekannte. Diese platzieren auf ihren oder fremden Webseiten Skripte, die die Rechnerressourcen der Besucher anzapfen, um digitales Geld zu generieren. Betroffen sind tausende Webseiten mit Milliarden Besuchern.

Monero, Liebling der Cryptojacker

Ein erster bekannterer Fall des Cryptojackings war jener der Torrentplattform Pirate Bay. Dort wurde im September ein solches Skript entdeckt, das experimentell dazu dienen sollte, eine Einnahmequelle für das an sich kostenlos betriebene Angebot zu erschließen. Verwendet wurde dabei ein Modul des Anbieters Coinhive, das den Prozessor der Nutzer zur Erzeugung von Monero verwendet. Diese Kryptowährung existiert als frühe Bitcoin-Alternative seit 2014, rangierte aber jahrelang in eher unspektakulären Kursbereichen.

2016 stieg der Kurs, getrieben von wachsendem Interesse an Bitcoin und Co, erstmals über zehn Euro. In diesem Jahr zog er parallel zu dieser Entwicklung stark an. Rangierte ein Monero am 1. Jänner noch bei 15 Euro, so sind es mittlerweile bereits 270. Im Gegensatz zum Bitcoin lassen sich Moneros gleichermaßen gut mit herkömmlichen Prozessoren und Grafikkarten erzeugen.

Skript auch auf österreichische Seiten geschleust

Coinhive lässt sich dabei auch in legitimer Weise einsetzen. Auf manchen Seiten wird Nutzern ausgeschildert, dass sie mit einem Klick für eine bestimmte Zeit ihre Rechenressourcen zur Verfügung stellen und dafür etwa Zugriff auf einen Download erhalten. Cyberkriminelle haben aber mittlerweile Wege gefunden, den Schürfprozess im Hintergrund zu starten. Teilweise gibt es auch Implementationen, bei denen dieser Prozess selbst dann weiterläuft, wenn der Nutzer den Tab mit der jeweiligen Website schließt.

Im November meldete "Ars Technica", dass zumindest auf 2.500 Webseiten Cryptomining-Skripte von Unbekannten eingeschleust worden sind. Die Bandbreite reicht von einfachen Unternehmenswebseiten bis hin zu allerlei Pornoportalen. Auch hier handelte es sich um das Coinhive-Skript. Dabei dürfte es sich um gezielte Angriffe auf Sicherheitslücken gehandelt haben. Erwischt hat es vor kurzem auch den Internetauftritt der Landessicherheitszentrale Burgenland und eine Reihe anderer österreichischer Websites.

Eine Stichprobe des STANDARD anhand einer im Netz kursierenden Liste kompromittierter Seiten ergab, dass ein hoher Anteil der betroffenen Auftritte offenbar veraltete Versionen des Content-Management-Systems Joomla verwendete. Das Landessicherheitszentrum Burgenland hat das Skript mittlerweile entfernt und die Seite auf technischer Ebene erneuert.

In Android-Apps und Starbucks-WLAN

Auch an anderer Stelle tauchte das Coinhive-Skript auf. So gelang es den Entwicklern von drei Android-Apps, ihre Programme inklusive des Mining-Tools in Googles Play Store zu platzieren. Sie sollen rund 15 Millionen Mal heruntergeladen worden sein, ehe sie entfernt wurden. In einem anderen Fall, so berichtet "Gizmodo", soll eine Firma, die für eine argentinische Starbucks-Filiale das kostenlose WLAN betrieb, dessen Nutzer zur zehnsekündigen Ausführung eines solchen Skripts verpflichtet haben, ehe sie darüber auf das Internet zugreifen konnten. Starbucks hat nach Bekanntwerden umgehend eingegriffen und betont, es handle sich um einen Einzelfall.

Weitere Zahlen liefert der britische "Guardian". Dort verweist man etwa auf die Portale Openload, Streamango, Rapidvideo und Online Video Converter. Die erstgenannten drei sind Streamingportale, die mitunter auch zur illegalen Verbreitung neuer Serien und Filme herangezogen werden. Letzterer Dienst ermöglicht es, Clips von Youtube und anderen Videoportalen herunterzuladen.

Auch diese Seiten sollen mehr oder weniger geheim die Ressourcen der Nutzer anzapfen, um Moneros zu erzeugen. Openload etwa präsentiert beim Aufruf einen Button, durch dessen Anklicken der Nutzer sich als Mensch identifizieren soll (Captcha). Tatsächlich handelt es sich um eine Einbettung von Coinhive. Andere starten das Skript, sobald der Nutzer auf den Play-Button für ein Video drückt.

Vier Seiten, eine Milliarde Nutzer

Alleine die vier genannten Seiten kommen laut Statistiken von Similarweb monatlich auf rund eine Milliarde Besucher. Bei Adguard errechnet man auf Basis des aktuellen Monero-Kurses für diese Praxis monatliche Einnahmen im Gegenwert von bis zu 326.000 Dollar. Da die Player der Seiten auch auf anderen Portalen eingebunden werden, gibt es hier aber wohl auch eine signifikante Dunkelziffer.

Für Nutzer ist es nicht immer leicht zu erkennen, wann ihr Rechner unfreiwillig zu einem Schürfroboter gemacht wird. Ein Anzeichen dafür ist jedenfalls, wenn sich der Browser oder das gesamte System nach dem Aufruf einer Webseite massiv verlangsamt und die Auslastung der CPU stark steigt. Allerdings kann das auch geschehen, wenn eine Website schlampig programmiert oder mit Multimediainhalten überfrachtet ist – oder der Nutzer einen älteren Rechner mit geringen Leistungsressourcen nutzt.

Sicherheitscommunity diskutiert Lösungsansätze

Das zunehmende Cryptojacking sorgt derweil für Diskussionen in der Sicherheitscommunity. Derzeit sind User darauf angewiesen, dass Browsererweiterungen, Virenscanner und andere Softwarelösungen die Skripte erkennen und stoppen. Künftig könnten aber auch Browser einen integrierten Schutz gegen solche Praktiken erhalten. Überlegt wird etwa, "Chromium" – die quelloffene Basis von Google Chrome und einigen anderen Surftools – damit zu ergänzen. (gpi, 14.12.2017)