News Drive-by Cryptomining: Versteckte Pop-under lassen geschlossene Browser minen

IIIIIIIIIIIIIII · 30. November 2017

Können AV Programme wie BitDefender, Avast und Co. das erkennen und blocken?

Affenzahn · 30. November 2017

Also mit umatrix bin ich nicht warm geworden. Mir fehlt da ne textübersicht. Wenn man z.b. die daily show von gestern sehen will, bleiben einem nur gewisse seiten als quelle. Dort wird man ersteinmal von tausenden popup und unders erschlagen.

Wie ich jetzt exakt nur den videoplayer erlaube, war mir nicht ersichtlich.

TNM · 30. November 2017

Warum blockt ublock den Link zum Artikel? Habt ihr was eingeschleust?

duke1976 · 30. November 2017

Da lobe ich mir doch unter Windows 7 die Anzeige der CPU-Auslastung als Mini-Programm auf dem Desktop. Sowas gibts aber meines Wissens nach nicht mehr unter Win 10 oder?

Wilhelm14 · 30. November 2017

In allen Fällen wird beim Aufruf der Seite ein Pop-under geöffnet, dessen obere Statusleiste hinter der Taskleiste von Windows liegt...
...liegt die rechte Ecke des Pop-unders hinter der Anzeige der Uhr.
...oder die Taskleiste verschoben wird – dann tritt es automatisch in den Vordergrund.

Da bin ich mir nicht sicher, ob das auch schon anders geht. Hier ein Artikel von Ars Technica, wo eine entsprechende Seite beschrieben wird. Der Artikel zeigt als Screenshot musicas... Aus Neugier habe ich die URL aus dem Screenshot im Artikel ausprobiert. Daneben den Ressourcenmonitor laufen lassen. Zuerst passiert nichts, auch wenn man sucht, werden nur Youtube-Videos eingebettet. Klickt man allerdings unter einem Video auf "Download" zuckt der Browser kurz und die CPU-Last geht mit einer firefox.exe auf 50 %. Allerdings sehe ich kein Pop-Under, auch nicht, wenn ich in Windows 10 die Taskleiste verschiebe. Ist das schon Cryptomining?

PS: Ich habe nichts (böses) verlinkt, der Link geht zu Ars Technica. Ausprobieren geht nur in Eigenregie ohne Gewähr.

Snooty · 30. November 2017

Jan schrieb:
Ausgenutzt wird, dass viele Anwender heute nicht mehr darauf achten, ob eine Anwendung auch wirklich geschlossen wurde, sondern lediglich die – sichtbaren – Fenster schließen.

Welcher Browser bleibt denn per Default im Systray offen?

Wenn etwas nur im Taskmanager weiterläuft, dann ist das natürlich was anderes - das sieht auch ein erfahrener User nur wenn er explizit guckt.

^R4iD · 30. November 2017

Das gif mit der "bestimmten" Seite ist viel besser

Ansonsten Augen auf im Datenverkehr.. aber bis jetzt hat ublock alles gefiltert..

daheim läuft übrigens ein PiHole mit.. merke also sowieso nix mehr davon.. weder am PC noch am mobilen Gerät..

anra8000 · 30. November 2017

Ich kommentiere das hier mal um Benachrichtigungen zu erhalten.
Genannte Mining-Webseiten kommen dann auf die Blacklist des Raspberry Pi "Pi Hole" Werbeblocker.
So sind dann im heimischen Netzwerk auch die Mobilgeräte einigermaßen geschützt.

Autokiller677 · 30. November 2017

TNM schrieb:
Warum blockt ublock den Link zum Artikel? Habt ihr was eingeschleust?

Je nach Filterliste wird bei den Worten "pop-under" geblockt. Und die kommen hier halt in der URL vor.

#Seneca · 30. November 2017

IIIIIIIIIIIIIII schrieb:
Können AV Programme wie BitDefender, Avast und Co. das erkennen und blocken?

Gibt es echt noch welche, die auf solches Snake oil rein fallen?

Domi83 · 30. November 2017

Autokiller677 schrieb:
Ja, für erfahrene User kein Problem. Die große Masse kennt diese Unterschiede nicht (bewusst) und macht sich da keine Gedanken drum.

Ja, so ist das leider... die wollen ja auch primär die breite Masse ansprechen. Wenn uBlock wirklich solche Pop-Under weg schiebt, ist auch klar wieso ich so etwas noch nicht gesehen habe

Dann hoffe ich doch mal, dass das Teil bei den Leuten wo ich es ebenfalls installiert habe, gute Dienste tut.

paul.muad.dib · 30. November 2017

@Computerbase: ihr könntest sowas doch optional und nicht verstrck5 nutzen, damit man euch unterstützen kann, ohne auf Werbebanner zu klicken.

Protecbay · 30. November 2017

Naja kann mir vorstellen das einige so etwas gezielt am Arbeitsplatz nutzen würden.
Richtig krass in Bezug auf Infektion wäre so etwas ja bei Android Geräten.
Power ist natürlich kaum vorhanden aber bei einer großen Masse....

Yakomo · 30. November 2017

Glaube die Suchanfragen im WorldWideWeb zu Frau Rodriguez werden demnächst steigen.
Kann man da Wetten drauf abschließen?

PS: MalwareBytes (Pro?) erkennt so Zeugs, zumindest wars bei Coinhive etc. der Fall.

owned_you · 30. November 2017

Tja da wird es langsam für den Anwalt interessant sich zu spezialisieren ... bei dem Kurs der Kryptowährung gibt es da einiges abzugreifen

Und bei illegalem "Fremd"minen trifft es dann ja auch nicht die Falschen --> Abzocker die dann abgezockt werden.

Also ihr Anwälte ran an den Speck, das Geld liegt auf der Stra* aääh world wide web ... das Image könnt ihr damit nebenbei auch noch aufpolieren.

CS74ES · 30. November 2017

#Seneca schrieb:
Gibt es echt noch welche, die auf solches Snake oil rein fallen?

Ist aber eine Option. Der Windows Defender ist auch nicht viel zuverlässiger. Zur Not kann man immer mal ein Virenprog brauchen.

@ Topic

Ist mir noch nicht untergekommen, ich würde es aber sowieso sehen, weil bei mir die Taskleiste ausgeblendet wird.

Wilhelm14 · 30. November 2017

Probier doch mal mein Beispiel in Beitrag #25 aus. Ich habe dort nichts hinter der Taskleiste. Allerdings deute ich das kurze Zucken beim Klicken auf Download als Block von µBlock (origin, Raymond Hill), sodass zwar das Fenster weg ist, der Prozess aber dennoch weiter läuft. PS: Im Quelltext steht "coinhive"

Gorby · 30. November 2017

duke1976 schrieb:
Da lobe ich mir doch unter Windows 7 die Anzeige der CPU-Auslastung als Mini-Programm auf dem Desktop. Sowas gibts aber meines Wissens nach nicht mehr unter Win 10 oder?

Nicht direkt von Haus aus, da Microsoft die Windows Widgets ja abgeschafft hat, da diese selbst ein Sicherheitsrisiko waren.

Es gibt aber genug andere Programme die noch viel mehr können

Jan · 30. November 2017

Warum blockt ublock den Link zum Artikel? Habt ihr was eingeschleust?

Ja, den Begriff Pop-under in Titel und URL. Da versagt Software auf ganzer Linie...

Mister L. · 30. November 2017

Wilhelm14 schrieb:
Da bin ich mir nicht sicher, ob das auch schon anders geht. Hier ein Artikel von Ars Technica, wo eine entsprechende Seite beschrieben wird. Der Artikel zeigt als Screenshot musicas... Aus Neugier habe ich die URL aus dem Screenshot im Artikel ausprobiert. Daneben den Ressourcenmonitor laufen lassen. Zuerst passiert nichts, auch wenn man sucht, werden nur Youtube-Videos eingebettet. Klickt man allerdings unter einem Video auf "Download" zuckt der Browser kurz und die CPU-Last geht mit einer firefox.exe auf 50 %. Allerdings sehe ich kein Pop-Under, auch nicht, wenn ich in Windows 10 die Taskleiste verschiebe. Ist das schon Cryptomining?

PS: Ich habe nichts (böses) verlinkt, der Link geht zu Ars Technica. Ausprobieren geht nur in Eigenregie ohne Gewähr.

Habs auch mal ausprobiert. Meine CPU ging direkt auf 100% hoch, sobald ich den Miner blocker deaktiviert habe. Ich musste aber nirgends auf Download klicken. Der bloße Besuch der Hauptseite reichte völlig aus.

Im übrigen Zeit der Mining block folgendes an:

wss://ws004.coinhive.com/proxy (domain:musicascc/en)
coinhive.com/lib/cryptonight.wasm(domain:musicascc/en)[/url]
wss://ws001.coinhive.com/proxy (domain:musicascc/en)
wss://ws006.coinhive.com/proxy (domain:musicascc/en)
wss://ws029.coinhive.com/proxy (domain:musicascc/en)
wss://ws003.coinhive.com/proxy (domain:musicascc/en)
wss://ws007.coinhive.com/proxy (domain:musicascc/en)

News Drive-by Cryptomining: Versteckte Pop-under lassen geschlossene Browser minen

IIIIIIIIIIIIIII

Gast

Commodore

Captain

Lieutenant

Fleet Admiral

Commodore

Captain

Lieutenant

Fleet Admiral

Banned

Rear Admiral

Lt. Junior Grade

Banned

Commander

Banned

CS74ES

Gast

Fleet Admiral

Vice Admiral

Chefredakteur

Lieutenant

Ähnliche Themen