Malwarebytes: Crypto-Miner versteckt sich hinter Windows-Taskbar

Bernd Kling,
malwarebytes-new (Bild: Malwarebytes)

Der Coinhive-Ableger platziert ein kleines Fenster hinter der Uhr der Taskleiste. Es ist damit für Nutzer nicht sofort erkennbar. Dadurch bleibt der Miner aktiv, wenn der Nutzer alle sichtbaren Browserfenster schließt.

Malwarebytes macht auf einen neuen browserbasierten Crypto-Miner aufmerksam, der Techniken von unerwünschter Online-Werbung übernimmt, um unbemerkt PC-Ressourcen für das Mining von Kryptowährungen zu missbrauchen. Die JavaScript-basierte Coinhive-Variante öffnet ein sogenanntes Pop-under-Fenster, das hinter der Windows Taskleiste platziert wird , um unentdeckt zu bleiben.

Malwarebytes (Bild: Malwarebytes)Normalerweise lassen sich Miner auf Websites, die den Coinhive-Dienst nutzen, deaktivieren, indem der Browser geschlossen wird. “Der Trick ist, dass obwohl alle sichtbaren Browserfenster geschlossen sind, es ein verborgenes Fenster gibt, das offen bleibt”, schreibt Jerome Segura, Sicherheitsforscher bei Malwarebytes, in einem Blogeintrag. “Das passiert aufgrund eines Pop-under, das so groß ist, dass es genau hinter die Taskbar passt und sich hinter der Uhr versteckt.”

Coinhive war ursprünglich als Alternative zu Online-Werbung entwickelt worden. Statt Nutzer mit Anzeigen zu nerven, “spenden” sie während des Besuchs einer Website einen Teil ihrer Rechenleistung, um Bitcoins zu schürfen, die dem Unterhalt des Online-Angebots dienen. Bekannt wurde diese Praxis unter anderem durch den Torrent-Tracker The Pirate Bay, der Coinhive in seine Seite integrierte und versehentlich die Prozessoren seiner Besucher zu 100 Prozent auslastete. Inzwischen werden JavaScript basierte Miner aber auch von Websites eingesetzt, die weiterhin Werbung einblenden, oder die von Cyberkriminellen kompromittiert wurden.

Obwohl Miner rein technisch betrachtet keine Schadsoftware sind, werden sie inzwischen von den Sicherheitslösungen verschiedener Anbieter als unerwünschte Anwendungen eingestuft und blockiert. Oftmals greifen sie nämlich ungefragt und ohne Wissen des Nutzers auf die PC-Ressourcen zu. Auch Adblocker blocken den Coinhive-Code.

Der jetzt von Malwarebytes entdeckte Miner versucht unentdeckt zu bleiben, indem er die CPU-Nutzung auf 50 Prozent beschränkt. Zudem sind Pop-under-Fenster eine Technik, die von Werbeblockern häufig nicht unterbunden werden kann.

Windows-Nutzer können sich vor dieser Technik schützen, indem sie die Transparenzeffekte für die Taskleiste aktivieren. Dadurch werde das hinter der Uhr versteckte Fenster enttarnt, ergänzte Segura. Der Task-Manager gebe zudem Auskunft über Browserprozesse mit einer hohen CPU-Auslastung, die in dem Fall beendet werden sollten.

Segura geht davon aus, dass sogenanntes Drive-by-Mining, also verdeckt arbeitende Crypto-Miner, populär bleiben. “Erzwungenes Mining ist eine schlechte Angewohnheit und alle Tricks wie die, die in diesem Blogeintrag beschrieben wurden, werden nur das Vertrauen in Crypto-Mining als Alternative zu Online-Werbung schwächen.”

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.