Werbenetzwerk überlistet Adblocker, um Cryptojacker einzusetzen
Mit Hilfe des sogenannten „Cryptojacking“ wird Rechenleistung von Nutzern (meist) ungefragt ausgenutzt, um Kryptowährungen zu „schürfen“ – aus dem Englischen (to) mine. Denn hierbei wird ein Javascript-basierter Miner (zu Deutsch „Bergarbeiter“) wie z.B. Coinhive eingebunden. Durch das Schürfen entstehen neue Münzen der Digitalwährung. Dies ist ein komplexer Prozess, für den eine besonders hohe Rechenleistung erforderlich ist.
Die eingesetzten Tools – die Crypotjacker – werden immer einfallsreicher und haben nun einen Weg gefunden, wie man Ad-Blocking-Software umgehen und den Coinhive JavaScript Miner über Browser-basierte Werbeanzeigen ausliefern kann.
Forscher von Qihoos Netlab 360 warnen, dass sie kürzlich ein Werbenetzwerk entdeckt hätten, das ein Tool zur Generierung von Domain-Algorithmen verwendet. Hiermit können Anzeigenblocker umgangen und Anzeigen mit Zielseiten verlinkt werden, die den Kryptominer Coinhive enthalten.
Das konkrete Werbenetzwerk nannten die Forscher nicht, aber sie sagten, dass der Anbieter seit 2017 Domain-Generierungs-Algorithmen (DGA) verwendet, um Werbeblocker effektiv zu umgehen.
DGA werden typischerweise verwendet, um in Intervallen zufällig neue Domänen zu erzeugen, sodass zu dem Zeitpunkt, an dem Werbeblocker die Domäne als Werbung erkennen, bereits eine neue Domäne generiert wurde.
"Dass Anbieter von Werbenetzwerken mit Ad-Blocking-Plugins konfrontiert werden, ist nichts Neues, aber das Web-Mining von Nutzern unter Verwendung von DGA-Domains verdient unsere Aufmerksamkeit", sagte Zaifeng, Forscher bei Netlab 360.
Hacker betten den Code heimlich in Webseiten ein und schürfen die Kryptowährung Monero, indem sie die CPU-Verarbeitungsleistung der Smartphones, Tablets und Computer der Website-Besucher nutzen.
Im Fall der infizierten Werbeanzeigen, die von Netlab 360 identifiziert wurden, besuchen die Opfer eine Website mit diesen Anzeigen. Wenn sie auf die Anzeigen klicken, werden sie an eine popad.net-Domain weitergeleitet, die das Coinhive-JavaScript enthält. Wenn der Nutzer einen Werbeblocker nutzt, wird die Domain popad.net blockiert, mit der die Anzeige geschaltet wurde. Hier hat der Cryptojacker einen JavaScript-Code platziert, der den Adblocker erkennt und die popad.net-Domain auf eine der DGA.popad-Domains des Cryptojackers umschaltet. Diese lädt eine Anzeige, die wiederum auf den Coinhive-Kryptominer verweist.
Möglicherweise sind sehr viele Nutzer von Cryptojacking betroffen sind. Einige der DGA.popad Domains sind in der Top 2.000-Rangliste von Alexa – was darauf hinweist, dass der Web-Traffic sehr hoch ist.
Die Forscher erklärten aber, dass die Websites, auf denen die DGA-verschlüsselten Anzeigen laufen, hauptsächlich Pornografie-Websites und ähnliche Websites sind, die typischerweise als Köder in Betrügereien verwendet werden.
Cryptojacking ist im letzten Jahr stark angestiegen – in der vergangenen Woche haben Forscher den Cryptojacking-Code sogar auf einer interaktiven Webseite der Los Angeles Times gefunden, der die CPUs der Besucher heimlich anzapfte, um die Monero-Kryptowährung zu schürfen.