Sicherheits-GAU bei der zu Google gehörenden Plattform YouTube. Die haben auf ihrer Webseite youtube.com eine Werbeanzeige publiziert, die einen Krypto-Miner enthielt.
Anzeige
Die Geschichte macht gerade die Runde durch die Medien. Letzten Dienstag gab es erste Meldungen wie diesen Tweet in denen sich Nutzer über einen Krypto-Miner beklagten.
Great now my browser everytime I watch youtube… my anti virus always blocking coinhive because malware . Idk much about it but this is getting annoying and I need a solution please T n T
— Arung (@ArungLaksmana) 23. Januar 2018
Immer wenn der betroffene Benutzer auf YouTube Videos ansehen wollte, schlug seine Antivirus-Software an und blockte einen Krypto-Miner. Diego Betto hat dann in einem weiteren Tweet auf das Problem hingewiesen.
Hey @avast_antivirus seems that you are blocking crypto miners (#coinhive) in @YouTube #ads
Thank you :)https://t.co/p2JjwnQyxz— Diego Betto (@diegobetto) 25. Januar 2018
Anzeige
Die Details hat er auf seiner Webseite dokumentiert. Im Chrome Inspector stellte er fest, dass eine der YouTube-Anzeigen infiziert war und versuchte, einen Krypto-Miner von Coinhive zu laden. Er hat das Ganze dann an Google gemeldet.
Weitere Details
Am Freitag meldeten Forscher des Antivirenanbieters Trend Micro, dass die Anzeigen bei YouTube zu einem mehr als dreifachen Anstieg in der Erkennungsrate von Krypto-Minern auf Webseiten führte. Die Angreifer missbrauchten die Anzeigen der DoubleClick-Anzeigenplattform von Google (die können nur große Publisher nutzen). Über die kompromittierte Anzeige versuchten sie, den YouTube-Besuchern in ausgewählten Ländern wie Japan, Frankreich, Taiwan, Italien und Spanien den Krypto-Miner unterzuschieben.
Die Anzeigen enthalten JavaScript, das den Krypto-Miner für Monero enthält. In 90 % der Zeit (der YouTube-Werbeanzeigezeit) verwenden die Anzeigen ein öffentlich zugängliches JavaScript, das von Coinhive bereitgestellt wird. Coinhive ist ein Krypto-Währungs-Mining-Dienst, der umstritten ist, weil er es Abonnenten ermöglicht, von der heimlichen Nutzung von Computern anderer Leute zu profitieren. Die restlichen 10 Prozent der Zeit (während die YouTube-Anzeigen im Browser sichtbar waren), wurde ein eigenes Mining-JavaScript verwendet (ist wohl 30% effizienter). Beide Skripte sind aber so programmiert, dass sie 80 Prozent der CPU eines Besuchers beanspruchen, so dass kaum genügend Ressourcen für andere Zwecke zur Verfügung stehen.
(Quelle: ArsTechnica)
Zudem scheint das Script in einigen Fällen auch noch eine Fake-Anzeige (siehe Bild) auf dem Computer eingeblendet zu haben, wie hier berichtet wird. Es wurde ein freies Antivirus-Tools zum Download angeboten. Ergänzende Hinweise finden sich in diesem Arstechnica-Beitrag sowie bei Bleeping Computer.
Anzeige
Hilft da ein Werbeblocker auf YouTube?
Der Addon uBlock hat einen Schutz vor Krypto-Mining. Die Liste hierfür heißt "uBlock filters – Resource abuse" und ist unter "Vorgegebene Filter" zu finden. Opera nutzt laut eigenen Angaben ebenfalls einen Schutz gegen Krypto-Mining. Eventuell kann auch das Blockieren bestimmter Seiten per host-Datei hilfreich sein.
http://winhelp2002.mvps.org/hosts.txt
Den Inhalt aus der verlinkten Textdatei in die host-Datei einfügen. Diese findet man bei Windows unter
%WINDIR%\SYSTEM32\DRIVERS\ETC
Dazu den Texteditor mit Adminrechte ausführen.
Welche AV Software einen Schutz für Krypto-Mining bietet, weiß ich nicht. Eset schützt nach eigenen Angaben auch dagegen.
https://www.welivesecurity.com/deutsch/2017/09/14/kryptowaehrung-web-mining-profit-durch-ressourcenraub/
Seltsam nur diesen "uBlock filters – Resource abuse" benutzten 65 von 178 Usern oder stimmt da was in der Anzeige nicht?
Die Mengenangaben beziehen sich auf die Anzahl der Einträge in den jeweiligen Filtern und wie viele davon bei einem selbst schon angeschlagen haben. In Deinem Beispiel hat der Filter "Resource abuse" 65 seiner 178 Filtereinträge auf von Dir besuchten Seiten mindestens einmal gefunden, also genutzt.
Danke Martin!
Endlich mal Jemand der das einfach erklärt. Ich habe das bei Chrome und Firefox auch überprüft und stellte unterschiedliche Werte fest. Geht man dann auf Aktualisieren, so erhöhen sich die Werte. Bei Chrome habe ich für diesen Eintrag den Wert 183 von 185 und in Firefox 112 von 166.
Okay ich hab mich zwischenzeitlich mal im uBlock Dashboard etwas mehr umgesehen und das mittlerweile auch festgestellt.
Aber da Günter die idee mit den Krypto Miner ja ganz witzig fand werde ich die Seite doch etwas mehr überwachen :), in der Regel hätte ich ja nichts dagegen Günters Seite ein bisschen zu unterstützen wenn Günters Krypto-Miner beim Besuch seiner Seite ein paar Bitcoins für ihn Schürft aber die Dinger bleiben ja erhalten und schürfen ja auch weiter wenn man den Blog verlässt.
Ich denke ja. Die Werbeblocker tragen entscheidend zur Sicherheit bei. Viele Viren, Trojaner etc. werden mittels diesen Werbedinger versteckt.
Im Browser kann man auch Javascript in den Einstellungen ausschalten. Voreingestellt ist "zulassen".
Die alte mbam 2.2.1 hat bei mir angeschlagen. Bösartige Website blockiert, allerdings coin-hive.com.
Eintrag in der hosts erledigt das auch.
Der coin Server steht bei Hetzner in D …
Erschreckend, dass nicht mal Google verhindern kann, dass soetwas passiert.
Ich glaube kaum dass die sowas begrüßen…
Ging mir auch im Kopf herum. Da haben die all diese KI und Big-Data-Werkzeuge, die uns Heil versprechen und bekommen das nicht in den Griff.
a) Im Google Play Store werden immer wieder Apps mit Malware gefunden
b) In Anzeigen gelingt es immer wieder Sauereien einzubinden
Zu a+b finden gängige Sicherheitstools offenbar die Schädlinge, während Google versagt. Ich habe das Gefühl, für Google ist einfach die schiere Menge nicht mehr zu packen – denn anders ist nicht zu verstehen, wieso die Miner in JavaScript nicht erkennen.
Dann sollte man auch die Lobby im Auge behalten in Deutschland für unsere Zeitungsverlage, denn die will gegen Werbeblocker und ePrivacy vorgehen, weil sie um ihre Werbeeinnahmen bangt.
Ja ja die wollen alle ziemlich viel ab besten noch Klar Namen das du dich anmeldest und für jede Sec. die du liest auch noch bezahlst. Selbst die Süddeutsche die noch vor Monaten gegen dieses Konglomerat von Bild, Spiegel… gewesen ist blockt mittlerweile zeitweise Browser mit Werbeblocker das dass nichts mehr mit einem Freien Internet zu tun hat sollte ja jedem klar sein.