Resources stelen
Websites laten je stiekem cryptocoins minen
Sinds een paar maanden gebruiken gewiekste criminelen de rekenperformance van pc's van vreemden om er zelf rijk van te worden. De nieuwe trend is 'cryptojacking' en het einde van die trend is nog lang niet in zicht.
De website The Pirate Bay experimenteerde in de herfst van vorig jaar met een JavaScript-snippet. De snippet misbruikte de cpu-rekenkracht van bezoekers om cryptocoins te minen. Er werd de websitebezoeker niet om toestemming gevraagd. Sindsdien is het stiekem minen in webbbrowsers een (nare) trend geworden. Het heeft als naam crypto- jacking gekregen, een samenvoegsel van cryptocurrency en hijacking.
Omdat cryptojacking pas bij flinke hoeveelheden gekaapte rekenkracht rendabel is, misbruiken de criminelen drukbezochte websites. Dit werkt zowel via ingekochte advertentieruimte (malvertising) als gerichte pogingen via bijvoorbeeld zeer populaire gamefora waar mining-code in wordt verstopt.
Vooral sites waar videostreams worden aangeboden zijn gewilde doelen, omdat de bezoekers daar langer blijven hangen. Adblockerbouwer AdGuard heeft de veiligheid van zijn software aangepast en claimt nu zelfs cryptojacking te kunnen ontdekken als de website dit probeert te verbloemen. Gebruikers krijgen een waarschuwing in beeld met de optie om de miner te stoppen. Het bedrijf ontdekte cryptominers op vier websites die samen 992 miljoen views per maand halen: Openload, Streamango, Rapidvideo en OnlineVideoConverter.
Ook de koffieketen Starbucks kwam in het nieuws. Een klant in Buenos Aires merkte bij drie filialen dat er vertraging optrad bij het verbinden met het gratis wifi. De oorzaak bleek mining-code in de welkomstpagina van provider Fibertel te zijn, die op zijn beurt weer door derden was 'besmet'.
Coinhive en Monero populair
Als je deze voorbeelden en aanverwante voorvallen onder de loep neemt, valt op dat het bij een groot deel gaat om variaties van dezelfde JavaScript-code. Deze is afkomstig van een enkele aanbieder, Coinhive, die dit sinds september vorig jaar aanbiedt om in sites te integreren. Het verdienmodel: de embedded code roept de daadwerkelijke mining-code aan op de Coinhive-website. De codebouwers
strijken zo'n 30 procent van de winst op. Of het aftappen van de rekenkracht van cpu's via het script stiekem plaatsvindt of dat de gebruiker daarover wordt geïnformeerd, hangt af van diegene die het script op zijn eigen (of een gehackte) website implementeert.
Getallen vanuit AdGuard geven aan hoe populair Coinhive is. Tussen oktober en november ontdekte AdGuard meer dan 33.000 websites met mining-scripts. Bij meer dan 95 procent hiervan zou het om de Coinhive-code gaan. De statistieken van AdGuard geven niet aan in hoeveel gevallen het minen zonder toestemming van de websitebezoeker plaatsvond (en misschien zelfs zonder dat de websitebeheerder het wist).
De blijkbaar grote populariteit van de Coinhive-code onder criminelen komt door de eenvoudige integratie en beschikbaarheid, maar ook door de via de code te minen cryptocoin Monero. Net als Zcash biedt die een hogere graad van anonimiteit dan bitcoin. Transacties worden namelijk standaard sterk 'versluierd' uitgevoerd. Daardoor kunnen derden ze slechts met veel moeite traceren.
Cryptojacking vereist JavaScript
Het uitschakelen van JavaScript in je browser blokkeert heimelijke pogingen om je cyptocoins te laten minen. Het nadeel is dat veel moderne websites zonder JavaScript niet meer werken zoals ze moeten. Het is beter om een adblocker te gebruiken, aangevuld met filter(regels) die mining al bij de bron aanpakken. Adblock Plus bijvoorbeeld heeft in september vorig jaar al een filterregel voor het blokkeren van mining-scripts beschikbaar gemaakt. Dit als reactie op op de Coinhive-code die draaide vanaf The Pirate Bay.
De ontwikkelaars van de antimalware-software van Malwarebytes hebben oktober vorig jaar besloten om Coinhiveactiviteiten in de browser als bedreiging te markeren om ze te kunnen tegenhouden. In een blogpost gaven ze als uitleg voor deze stap dat de mining-code massaal door criminelen werd misbruikt.
Mining-scripts in plaats van banners
Malwarebytes gaf ook als argument dat op oudere systemen het veeleisende minen niet alleen de performance naar beneden trekt, maar ook de hardware blijvend kan beschadigen. Cryptomining in je browser is niet per se slecht. Het kan een alternatief zijn voor reclamebanners, die ook wel misbruikt worden om malware te verspreiden. Maar dan moet de gebruiker wel eerst wel netjes om toestemming gevraagd worden.
De Coinhive-ontwikkelaars gaven via hun website aan dat ze geen kwaad willen doen en zeker geen criminele bedoelingen hebben maar cryptominen echt als alternatief zien voor reclame. Dit onderbouwen ze door naast de zomaar aan te passen mining-code, ook een versie met een grafische interface aan te bieden. Bij deze interface moet de gebruiker eerst een start-knop aanklikken om Monero-coins te minen.
De gangbare adblockers hebben Coinhive al geblacklist (of ze nu om toestemming vragen of niet) en daarom hebben de ontwikkelaars het AuthedMine-project gestart. Dit is een Coinhive-implementatie die de gebruiker elke sessie expliciet vraagt om toegang tot de rekenkracht van de cpu. De ontwikkelaars gaven bij het bekendmaken aan dat er geen reden is om de nieuwe mining-versie te blokkeren. Maar ze weten alleen zelf of achter AuthedMine daadwerkelijk een gebruikersvriendelijk alternatief schuilt of angst voor financiële tegenvallers.
Het probleem is dat na elke vraag om toestemming de winst kan verminderen. Veel internetters zijn niet zo happig om toestemming te geven via een schermpje zoals bij AuthedMine. Dit kan zijn omdat ze niet weten dat minen een alternatief is voor reclame, het ze niet interesseert of het als veiligheidsrisico wordt gezien. De tegenreactie is dat criminelen steeds nieuwe tactieken toepassen om hun activiteiten te verhullen. En zo wordt elke poging ondermijnd om cryptomining als een betrouwbaar alternatief voor reclamebanners te gebruiken.
Criminelen spelen verstoppertje
Het team achter Malwarebytes ontdekte in december 2017 op de pornosite yourporn. sexy een zeer geslepen cryptojackingstrategie. Deze is gebaseerd op een browservenster in de vorm van een pop-under. Dit is een pop-up die niet voor, maar achter het huidige venster wordt geopend. In het geval van de eerder genoemde pornosite detecteert de pop-under de resolutie om zo de exacte grootte en positie van de taakbalk aan te nemen en zich daar achter te verstoppen.
Terwijl je nietsvermoedend naar de volgende website surft, draait het miningscript in de pop-under gewoon verder en belast je processor slechts gemiddeld, zodat dit niet opvalt. De pop-under werkt gelukkig niet helemaal zoals bedoeld: volgens Malwarebytes valt hij op als je Windowsthema de taakbalk transparant weergeeft.
Hij valt ook op een andere manier op, namelijk via het browser-icoon in de taakbalk. Dit blijft actief staan ook al denk je als gebruiker dat alle vensters gesloten zijn. Via een rechtermuisklik op het icoon (venster sluiten) of door het proces van je browser af te sluiten via taakbeheer kun je alsnog simpel de verborgen mining-activiteiten stilleggen. (avs)