cybercrime
cybercrime
Bildquelle: Pete Linforth

Coinhive noch immer auf über 41.000 Webseiten aktiv

Auf Coinhive.com produzieren tagtäglich über 41.000 verschiedene Webseiten zwei Jahre nach dem Aus weiterhin mehrere Millionen Seitenaufrufe.

Der Sicherheitsforscher Troy Hunt staunte nicht schlecht nachdem er die Domain übernommen hatte. Auf Coinhive.com gehen noch immer mehrere Millionen Seitenaufrufe täglich ein. Betroffen sind offenkundig vor allem Router und Seiten, bei denen Hacker die Schadsoftware unbemerkt eingeschleust haben.

Täglich 100.000 Unique Visitors von Coinhive.com

Diverse Webmaster wie Cristiano Ronaldo, von Share-Online.biz, The Pirate Bay oder Streamdream.ws experimentierten mit neuen Erlösmodellen. Coinhive war bis Ende April 2019 der bekannteste Anbieter einer JavaScript-basierten „Mining“-Software für Kryptowährungen. Vor allem der Monero (XMR) wurde darüber berechnet. Bei 10.000 Besuchern täglich konnten die Seitenbetreiber darüber bis zu 70 Euro im Monat zusätzlich umsetzen.

Dieses JavaScript war aber aus mehreren Gründen problematisch. Einerseits hatten einige Webmaster dieses ungebremst eingesetzt, was zu einem enormen Stromverbrauch führte. Andererseits hat kaum jemand seine Besucher auf dessen Existenz hingewiesen. Smartphone-Benutzer hätten sich sonst nicht länger wundern müssen, wieso ihre Akkus so schnell leer waren. Akzeptabel war der Einsatz von Coinhive beispielsweise bei der Szenebox, weil der Betrieb mit halber Kraft und vorheriger Erlaubnis bzw. Information der Surfer durchgeführt wurde.

Pro Tag erfolgen dort über 3.63 Millionen Seitenaufrufe aus aller Welt

Troy Hunt, der Betreiber von Have I been pwned hat die Domain Coinhive.com nebst anderen Domains gekauft, die man für den Betrieb eingesetzt hatte. Zu seinem Erstaunen gehen dort bis heute, also zwei Jahre nach dem Aus des Dienstes, noch immer täglich über 3.63 Millionen Seitenaufrufe von den unterschiedlichsten Webseiten aus aller Welt ein. 100.000 einzelne Besucher pro Tag ist wahrlich kein Pappenstiel.

coinhive

Nach einer eingehenden Analyse stellt Hunt fest, dass die meisten IP-Adressen aus Russland und China stammen. Zudem fand er beispielsweise in Vietnam Webseiten, die unablässig versuchen, den Schadcode von Coinhive auf bestimmten Routern und anderen Geräten zu installieren, die dafür anfällig sind. Hunt könnte unzählige Webseiten manipulieren und somit das schädliche aber zumeist inaktive JavaScript entfernen. Zumindest findet kein Mining statt. Oder aber von daheim aus einen Warnhinweis einbauen. Doch das wäre ihm laut gültiger Rechtslage gar nicht erlaubt.

Momentan arbeitet Hunt bei GitHub an einem Popup-Fenster zur Warnung, was die Webmaster allerdings selbst einfügen müssen. Damit könnte man alle Besucher warnen, sollte eine Webseite mit dem Coinhive Script verseucht sein. Das Ganze zeigt immerhin, wie viel Power in solchen Skripten steckt. Und auch, wie viel Unsinn man damit anstellen kann.

Tarnkappe.info

 

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.