image

Cryptominer blijft werken als browservenster wordt gesloten

donderdag 30 november 2017, 11:04 door Redactie, 11 reacties

Onderzoekers hebben een cryptominer ontdekt die de rekenkracht van de computer blijft gebruiken, ook als het browservenster wordt gesloten. Wanneer de gebruiker denkt de browser te sluiten blijft die door een pop-under onder de taakbalk actief. Zodoende kan het script dat de cryptominer aanroept gewoon blijven werken, zo laat anti-malwarebedrijf Malwarebytes weten.

De cryptominer in kwestie is een aangepaste versie van de Coinhive-cryptominer. Het gaat om een stukje JavaScript-code dat in de browser draait en de rekenkracht van de computer gebruikt om de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit. Eigenaren van websites die Coinhive willen gebruiken moeten hiervoor op hun website naar een JavaScript-bestand van Coinhive wijzen Dit bestand wordt vervolgens door de browser van bezoekers geladen, waarna de rekenkracht van hun computer wordt gebruikt voor het uitvoeren van de cryptografische berekening.

Naast legitieme websites die cryptominers als alternatief voor advertenties gebruiken, wordt er ook door criminelen misbruik van gemaakt. Ze plaatsen de cryptominer op gehackte websites. Bezoekers van deze websites genereren zo nietsvermoedend, en zonder dat de eigenaar van de website dit doorheeft, inkomsten voor de criminelen. Adblockers kunnen cryptominers blokkeren. De nu ontdekte cryptominer maakt echter gebruik van een specifieke pop-under die volgens Malwarebytes is ontwikkeld om adblockers te omzeilen, aangezien die veel lastiger te identificeren is. Deze pop-under wordt door het Ad Maven-advertentienetwerk geladen, die weer code van andere locaties laadt.

"Het sluiten van de browser via de "X" is niet langer voldoende. De meer technische gebruiker zal via Taakbeheer willen controleren of er geen overgebleven browserprocessen draaien en ze vervolgens beëindigen. Daarnaast zal de taakbalk nog steeds het browsericoon met een lichte highlight tonen, wat aangeeft dat die nog steeds draait", aldus onderzoeker Jerome Segura.

Image

Reacties (11)
30-11-2017, 11:35 door Anoniem
Het bericht is niet helemaal volledig. Je kan namelijk zelf in Chrome instellen of je toelaat dat processen doorwerken na het sluiten van de browser:
Instellingen - Geavanceerd - Achtergrondapps blijven uitvoeren wanneer Google Chrome is gesloten (dit dus uitzetten)
30-11-2017, 12:03 door Anoniem
Is dit een ¨Windows-only¨ probleem?

In de tekst staat ¨Java-script-code dat in de browser draait¨, dat zou betekenen dat die code ook kan worden uitgevoerd in een Apple- of Linux omgeving. De illustratie bevat echter (over)duidelijk onderdelen van een Windows scherm.

Mijn Systeemmonitor (Ubuntu) laat geen onbekende processen zien. Gelukkig. Of zie ik iets over het hoofd?
30-11-2017, 12:34 door -karma4
Door Anoniem: Is dit een ¨Windows-only¨ probleem?

In de tekst staat ¨Java-script-code dat in de browser draait¨, dat zou betekenen dat die code ook kan worden uitgevoerd in een Apple- of Linux omgeving. De illustratie bevat echter (over)duidelijk onderdelen van een Windows scherm.

Mijn Systeemmonitor (Ubuntu) laat geen onbekende processen zien. Gelukkig. Of zie ik iets over het hoofd?

Ook onder Linux kan Google Chrome (of Chromium) worden ingesteld om achtergrondprocessen te blijven uitvoeren. Dat is bijvoorbeeld handig wanneer je notificaties van sites wilt ontvangen. Je kan de optie echter gewoon uitzetten.

Settings -> Advanced -> Continue running background apps when Chromium is closed
30-11-2017, 12:37 door Vixen
Door Anoniem: Het bericht is niet helemaal volledig. Je kan namelijk zelf in Chrome instellen of je toelaat dat processen doorwerken na het sluiten van de browser:
Instellingen - Geavanceerd - Achtergrondapps blijven uitvoeren wanneer Google Chrome is gesloten (dit dus uitzetten)

Dit is irrelevant, want het gaat er juist om dat het browservenster NIET gesloten word, er blijft een venster open maar deze zit verstopt achter de taakbalk. De titel is een beetje krom, met de titel bedoelen ze dat het sluiten van de zichtbare vensters niet helpt. Maar het miner venster zit verborgen en is dus niet zichtbaar
30-11-2017, 13:22 door Anoniem
Door Vixen:
Door Anoniem: Het bericht is niet helemaal volledig. Je kan namelijk zelf in Chrome instellen of je toelaat dat processen doorwerken na het sluiten van de browser:
Instellingen - Geavanceerd - Achtergrondapps blijven uitvoeren wanneer Google Chrome is gesloten (dit dus uitzetten)

Dit is irrelevant, want het gaat er juist om dat het browservenster NIET gesloten word, er blijft een venster open maar deze zit verstopt achter de taakbalk. De titel is een beetje krom, met de titel bedoelen ze dat het sluiten van de zichtbare vensters niet helpt. Maar het miner venster zit verborgen en is dus niet zichtbaar

Ben benieuwd of dit trucje lukt in Linux, venster verstoppen onder de taakbalk???

Ik hou het maar gewoon bij normale valuta, scheelt een hoop gezeur denk ik.
30-11-2017, 15:30 door Anoniem
Het lijkt me dat noscript dit verhelpt?
30-11-2017, 15:53 door Anoniem
Is dat geen klinkklare diefstal namelijk het stelen van resources?
30-11-2017, 19:51 door Anoniem
If malvertising wasn’t bad enough as is, now it has a new weapon that works on all platforms and browsers.
Niet dus.

Genoemde domeinen doen het al niet meer.
Domein yourporn.sexy doet het nog wel.
Met en zonder veel javascripts geprobeerd, met en zonder adblocker actief.

Veel zichtbare activiteit in het browservenster maar niet onder cpu activiteit.

Niet toegestaan, iframes en webgl.
Lichte vermoeden dat de crux zit ook in het blokkeren van webgl, dan is het niet meer zo interessant om je browser te laten werken.

Extra gevaarlijk voor firefox gebruikers nieuwe stijl.
Die browser gebruikt namelijk actieve webgl om snel te doen.
Er zijn wel 5 standen voor.
Leuk als je hem op het hoogste standje hebt staan voor een snelle webervaring, dat wordt dan een snelle cryptomining ervaring.

Slim van miningzilla

Dubbelslim zelfs, want noscript is naar de haaien in de nieuw gewenste Anti privacy ervaringssysteem van mzzlahs afgeslankte websextensions.
Oplossing is Noscript, maar de echte heb je alleen onder de oude ff.
ESR draaien met noscript zolang het nog kan.

Eindconclusie, niet reproduceerbaar en dus niet zonder meer werkend op alle systemen met alle browsers.
01-12-2017, 10:11 door Anoniem
Als men akkoord gaat met dit business model, gaan we het wel merken op onze mobiele telefoons. Batterij houdt het ineens niet meer lang uit.

Oja, en dan ga ik beginnen met stroom aftappen voor mijn wietplantage. :)
02-12-2017, 11:44 door -karma4
Door Vixen:
Door Anoniem: Het bericht is niet helemaal volledig. Je kan namelijk zelf in Chrome instellen of je toelaat dat processen doorwerken na het sluiten van de browser:
Instellingen - Geavanceerd - Achtergrondapps blijven uitvoeren wanneer Google Chrome is gesloten (dit dus uitzetten)

Dit is irrelevant, want het gaat er juist om dat het browservenster NIET gesloten word, er blijft een venster open maar deze zit verstopt achter de taakbalk. De titel is een beetje krom, met de titel bedoelen ze dat het sluiten van de zichtbare vensters niet helpt. Maar het miner venster zit verborgen en is dus niet zichtbaar

Als ik een Exit doe (via menu) dan worden alle browservensters gesloten. Normaliter is dan alles afgesloten behalve wanneer je bovenstaande achtergrond apps optie hebt aangevinkt. Of het hier bij deze cryptominer gaat om een achtergrondapp of een regulier browservenster weet ik niet. Hoe dan ook heb je beide mogelijkheden afgedekt met de optie uitgevinkt.
06-12-2017, 02:18 door Anoniem
Door Anoniem:
If malvertising wasn’t bad enough as is, now it has a new weapon that works on all platforms and browsers.
Niet dus.

Genoemde domeinen doen het al niet meer.
Domein yourporn.sexy doet het nog wel.
Met en zonder veel javascripts geprobeerd, met en zonder adblocker actief.

Veel zichtbare activiteit in het browservenster maar niet onder cpu activiteit.

Niet toegestaan, iframes en webgl.
Lichte vermoeden dat de crux zit ook in het blokkeren van webgl, dan is het niet meer zo interessant om je browser te laten werken.

Extra gevaarlijk voor firefox gebruikers nieuwe stijl.
Die browser gebruikt namelijk actieve webgl om snel te doen.
Er zijn wel 5 standen voor.
Leuk als je hem op het hoogste standje hebt staan voor een snelle webervaring, dat wordt dan een snelle cryptomining ervaring.

Slim van miningzilla

Dubbelslim zelfs, want noscript is naar de haaien in de nieuw gewenste Anti privacy ervaringssysteem van mzzlahs afgeslankte websextensions.
Oplossing is Noscript, maar de echte heb je alleen onder de oude ff.
ESR draaien met noscript zolang het nog kan.

Eindconclusie, niet reproduceerbaar en dus niet zonder meer werkend op alle systemen met alle browsers.
Ik gebruik al een tijdje Palemoon webbrowser zonder al te veel problemen.Daar draait de oude no-script wel gewoon goed op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.