Guerilla Mining – Akute Gefahr aus dem Browser

Über 500 Millionen Website-Nutzer wurden für für Kryptomining missbraucht. Was versteht man unter Guerilla Mining? Wer ist betroffen? Welche Gefahren können hierbei entstehen? Diese und weitere Fragen beantworte ich in diesem Artikel.

Guerilla Mining

Was ist Guerilla bzw. JavaScript Mining?

Über 500 Millionen PCs werden heimlich für Kryptomining missbraucht, wie die Adblockerfirma Adguard mitteilt. Der Profit wird beim Guerilla bzw. JavaScript Mining durch Ressourcenraub erbeutet, und das ohne das es die Besucher der betroffenen Webseiten überhaupt merken, wie auch welivesecurity berichtet.

Bei einem Besuch eines mit schädlichen JavaScript Dateien infizierten Webseite, wird während des Besuchs diese JacaScript Datei ausgeführt, welche die Rechenleistung des PCs angezapft. Die hierdurch gewonnene Rechenleistung wird genutzt um Kryptowährungen wie z.B. Monero zu schürfen. Gerade das Mining von Monero ist aktuell hochlukrativ. Adguard schätzt den Gewinn durch Guerilla Marketing auf insgesamt 43.000 US-Dollar. Da dies aktuell ausbreitet, gilt es jetzt entsprechende Maßnahmen zu treffen.

Guerilla bzw. JavaScript Mining als Einnahmequelle für Webseiten?

Der JacaScript Code kann vom Betreiber der Webseite bewusst implementiert werden, um hiermit eine neue Einnahmequelle zu erschließen. Hierfür gibt es Anbieter wie z.B. Coinhive und JSEcoin, die solche Jacascript Codes zur Verfügung stellen. In der Regel geschieht dies allerdings ohne die Besucher zu informieren. Da nur wenige Betroffene die CPU-Leistung der eigenen Geräte überwachen auch meist ohne das die Besucher dies bemerken. Das kann allerdings den PC in die Knie zwingen, mindestens jedoch verkürzt es die Lebensdauer der Geräte und erhöht die Stromkosten, da dieses ineffiziente JacaScript Mining enorme Mengen an Energie verbraucht. Websiten-Betreiber sind also beim Einsatz dieser JacaScript Codes aufgefordert, die eigenen Besucher aufzuklären und mittels Opt-in die Möglichkeit zu bieten abzulehnen oder anzunehmen. Das passiert jedoch leider kaum.

Beispiel: Der JacaScript Code von JSEcoin enthält zum aktuellen Zeitpunkt (09.11.2017 – 11:45 Uhr) den Baustein “load.jsecoin.com”. Um zu überprüfen, welche Webseiten die eigenen Besucher über diese Vorgehensweise informieren, habe ich mittels Nerdydata.com bei Alexa gelisteten Webseiten durchsucht. Zu diesem Zeitpunkt wurden 185 Webseiten gefunden, die den JacaScript Code von JSEcoin implementiert haben.

Keine der von mir überprüften 185 Webseiten informiert die Besucher darüber, das im Hintergrund teilweise enorme Rechenleistung angezapft wird. Ich arbeite mit einem aktuellen MacBook Pro und stelle hier mittels der Software Dr. Cleaner meist 100% CPU-Leistung fest! Es wird also nicht still und heimlich ein wenig abgezapft um unbemerkt zu bleiben, nein, es wird mit beiden Händen zugelangt. Wer das selbst überprüfen möchte, packt einfach den Schnipsel “load.jsecoin.com” (ohne Anführungszeichen) in den Suchschlitz bei Nerdydata.com und wühlt sich durch die dort aufgelisteten Webseiten.

Was ich zu diesem Zeitpunkt nicht validieren kann ist, wie viele von den 185 Webseiten den JacaScript Code bewusst implementiert haben. So ist es z.B. denkbar, das z.B. der Webseiten-Administrator diesen Code eingebracht hat, ohne das dem Webseiten-Inhaber dies bewusst ist. So wurde auf der offiziellen Webseite von Christiano Ronaldo der JavaScript Mining Code von Coinhive gefunden (dieser ist mittlerweile entfernt worden). Ich gehe jedoch nicht davon aus, das Christiano Ronaldo dies eigenständig umgesetzt hat, bzw. stünde das – in seiner Lohnklasse – einfach in keinem Verhältnis. Das wäre total unsinnig. Hier hat sich vielleicht ein Webseiten-Administrator etwas hinzuverdienen wollen. Das kann ich abschließend natürlich nicht zuverlässig sagen.

Ein weiteres Problem ergibt sich aus den Schwachstellen der JacaScript Mining Codes, denn wie auf Sucuri berichtet wird, sind diese Codes wohl bereits von Hackern unterwandert worden. Was dann in den unterwanderten bzw. gehackten JacaScript Codes passiert, möchten wir vermutlich besser garnicht wissen. Im besten Fall zapft sich ein Hacker die dort gewonnene Rechenpower ganz oder teilweise ab, um selbst die gewonnene Krypto-Coins zu ergattern.

Wie kann ich Guerilla bzw. JavaScript Mining feststellen?

  • Der Laptop wird beim Besuch betroffener Webseiten heiß und der Lüfter schnauft bis zum Anschlag. Lösung: Software wie z.B. Dr. Cleaner überwachen die CPU-Leistung. Da der Jacascript Code nur beim Besuch der Website ausgeführt wird, kann hiermit genau überprüft werden, ob diese beim Besuch der Webseite die CPU-Leistung in die Höhe schnellt.
  • Wenn der Akku von Smartphone und/oder Tablett plötzlich ungewöhnlich schnell leer leer geht.
  • Prüfe in Zukunft die Stromrechnung etwas genauer, denn größere Sprünge sollten Dich aufmerksam werden lassen.
  • Bei Webseiten die Du häufig besuchst, kannst Du den Quellcode überprüfen. Nutze hierzu im z.B. Chrome Browser den Rechtsklick, dann “Seitenquelltext durchsuchen” und dann diesen nach “Coinhive” oder “JSEcoin” durchsuchen. Falls hier JavaScript Mining im Hintergrund ausgeführt wird, diese Webseite meiden.

Wie kann ich mich vor Guerilla bzw. JavaScript Mining schützen?

Aktuell arbeitet Google Chrome an einer Lösung dies bereits im Browser (default) zu unterbinden und auch die etablierten Virenscanner haben dies auf dem Schirm und schlagen bereits teilweise Alarm. Es ist nur eine Frage der Zeit, bis auch die weit verbreiteten AdBlocker das JavaScript Mining unterbinden. Auch springen aktuell einige findige Toolhersteller auf diesen Trend auf und bieten Browser Add-ons für Google Chrome und Firefox, um dies zu unterbinden. Hier ist jedoch ebenso Vorsicht geboten, um nicht in die nächste Falle (False Flag – unter falscher Flagge) zu tappen.

Grundsätzlich sind die beiden Add-ons No Coin und minerBlock scheinen nicht ganz verkehrt zu sein. Beide veröffentlichen den source code auf GitHub (hier und hier) und damit ist transparent nachvollziehbar was die Add-ons genau machen. So macht man es richtig. Darüber hinaus gibt es NoScript (für Firefox) oder ScriptSafe (für Chrome). Damit ist allerdings nicht nur das JavaScript Mining, sonder JavaScript komplett unterbunden und damit leider dann auch viele Applikationen auf Webseiten oder gar ganze Webseiten nicht mehr nutzbar. Mir wäre das zu radikal, das muss aber jeder für sich selbst abwägen. Vorenthalten wollte ich diese Lösungen jedoch hier nicht.

Meine persönliche Meinung zum JavaScript Mining

Grundsätzlich finde ich den Tausch – Rechenleistung gegen Content – sehr interessant. Insofern transparent und via Opt-in klar und deutlich kommuniziert wohl auch für beide Seiten – im Vergleich zur lästigen Werbung – eine Option mit potenzial die Werbeindustrie von hinten aufzurollen.

Für Wikipedia kann dies z.B. eine interessante Lösung darstellen, um aus dem Dilemma mit den Spenden herauszukommen. Wenn wir mal ehrlich sind, ist das genau so nervig wie Werbung und daher schlecht gelöst. Zudem ist der Anteil derer, die tatsächlich spenden unglaublich gering. Wenn mich Wikipedia – zu Beginn des Besuches – fragt, ob ich 5-20 % meiner Rechenleistung abtreten möchte, während ich mich auf Wikipedia aufhalte, um somit den Betrieb dauerhaft zu gewährleisten, bin ich sofort dabei. Eine Aufklärung was genau passiert, ein einfacher Schieberegler, in welchem ich eigenständig definieren kann, wieviel Rechenleistung ich heute bereit bin abzugeben und zwei Buttons “Start” und “Stop”. Fertig. Ich fände das richtig klasse und würde das auch regelmäßig nutzen.

Was überhaupt nicht angeht, ist das Webseiten heimlich mittels JavaScript Mining meine Rechenleistung anzapfen. Und Anbieter wie Coinhive und JSEcoin, die unsichere von Hackern unterwanderte JacaScript Codes verbreitet, sind aktuell keine vernünftige Lösung. Wer diese Nachfrage jetzt erkennt und sauber bedienen kann, wird einen festen Platz im Markt haben, da bin ich mir ganz sicher.

Mehr zum Thema Guerilla bzw. JavaScript Mining

Mehr zum Thema Geld verdienen & Kryptowährung