Kriminelles Krypto-Mining über offenes WLAN

  • Article

In Zeiten, in denen die Kurse von Krypto-Währungen durch die Decke gehen, wird auch das Krypto-Mining für Kriminelle immer interessanter. Entsprechende Malware taucht mittlerweile in zahlreichen Unternehmens-Netzwerken auf, dazu mehr im letzten Absatz dieses Beitrags. Zu Beginn soll es um die Machbarkeitsstudie eines Software-Entwicklers gehen: Arnau Code hat sich die Frage gestellt, wie man über ein freies WLAN, etwa in einem Cafe oder Hotel, die Notebooks der Gäste zum Krypto-Mining missbrauchen könnte. Natürlich ohne ihr Wissen und ihre Einwilligung.

In seinem Blog beschreibt Arnau Code eine typische Man-in-the-Middle-Attacke. Sie basiert auf einem von ihm geschriebenen Skript, das er CoffeeMiner genannt hat. Es unterbricht zunächst den Datenverkehr zwischen dem Router des Coffeeshops und den WLAN-Clients und leitet ihn um über einen virtuellen Router. Dort ist das Tool mitmproxy installiert, mit dem Arnau Code in jede HTML-Seite, welche die Kaffeehaus-Gäste aufrufen, eine zusätzliche Zeile JavaScript-Code einfügt. Mit diesem Code werden die WLAN-Clients zu einem einfachen HTML-Server verbunden, auf dem die Krypto-Miningsoftware Coinhive läuft und die Ressourcen der Gäste-Rechner zum Schürfen der Kryptowährung Monero missbraucht. Um auch Besucher von HTTPS-Seiten in das Mining einzubeziehen, setzt Arnau Code zusätzlich das Skript sslstrip ein.

Krypto-Mining-Malware ist ein dickes Problem

Der Clou an diesem Angriffsszenario ist, dass die Rechenpower der Kaffeehaus-Gäste verhältnismäßig lange genutzt werden kann. Normalerweise ist Coinhive in einzelne Webseiten integriert, die ein Besucher lediglich einige Sekunden lang betrachtet. Die geschilderte Attacke läuft jedoch so lange, wie der Gast über das WLAN des Kaffeehauses Seiten im World Wide Web aufruft.

Malware für das Krypto-Mining gehört aktuell zu den am weitesten verbreiteten Schadsoftware-Varianten, wie der Global Thread Report für den Dezember 2017 des Sicherheitsanbieters Check Point meldet. Demnach sind in 55 Prozent aller Unternehmen weltweit entsprechende Schadprogramme zu finden. Unter den Top 100 der aktuell im Umlauf befindlichen Malware-Programme befinden sich zehn Krypto-Miner, zwei davon gehören sogar zu den drei am häufigsten gefundenen Malware-Samples überhaupt. Auch viele Websites, die Medien abspielen oder Filesharing-Services anbieten, verwenden Krypto-Miner, um die Rechenkapazitäten der Besucher abzugreifen, häufig ohne sie darüber zu informieren.