Um das Phänomen des heimlichen "Abzwackens" fremder Rechenleistung für das Schürfen von Kryptowährungen durch Cyberkriminelle, im Fachjargon auch "Crypto-Jacking" genannt, ist es im vergangenen Jahr sehr still geworden.

Forscher der University of Cincinnati und der Lakehead University in Cincinnati und Orillia, USA untermauern diesen Eindruck mit Zahlen: Ihren – wenn auch nur stichprobenartigen – Analysen zufolge hat "Crypto-Jacking" (wohl seit Ende September 2018) um 99 Prozent abgenommen. Sie sehen einen direkten Zusammenhang zwischen dieser Entwicklung und der Einstellung des Krypto-Mining-Dienstes "Coinhive" am 8. März 2019.

Aufstieg und Niedergang des heimlichen Monero-Mining

Das heimliche Mining wurde ab Ende 2017 eine zunehmend beliebte Einkommensquelle für Internetkriminelle. Den Job erledig(t)en Skripte, die in den Quelltext der jeweiligen (oft gehackten) Website eingebaut wurden beziehungsweise werden.

Bereits zu Beginn der Crypto-Jacking-Welle stammten die verwendeten Codeschnippsel besonders häufig von Coinhive. Der Anbieter nahm im September 2017 seine Dienste auf und strich, wann immer jemand seinen Code nutzte, 30 Prozent der Erlöse in Form der Krypto-Währung Monero ein. Allerdings beteuerte das Coinhive-Team immer wieder seine Rechtschaffenheit: Es begriff sein Angebot nach eigener Aussage als alternative Monetarisierungsmöglichkeit für Websites, um stattdessen etwa auf Bannerwerbung zu verzichten.

Größere Verbreitung fand das Verfahren in legaler, für Website-Besucher transparenter Form dennoch nicht – zeitweise aber bei Cybergangstern, die mit angepassten Skript-Varianten oftmals den vollen Gewinn für sich behielten. Bereits Mitte 2018 nahm deren Begeisterung fürs Crypto-Jacking laut Studien von Sicherheitsforschern allerdings schon wieder ab. Als Grund vermuteten die Forscher neben dem verhältnismäßig hohen Zeitaufwand (etwa im Vergleich zu einer Erpressung mit Ransomware) den rasant gefallenen Monero-Kurs.

Auf letzteren wiesen auch die Coinhive-Betreiber im Zusammenhang mit ihrer Ankündigung hin, den Dienst zum 8. März 2019 einzustellen. Der Monero-Kurs sei innerhalb eines Jahres um 85 Prozent eingebrochen. Gerade diese Krypto-Währung war allerdings bei Kriminellen besonders beliebt, da Transaktionen standardmäßig stark verschleiert stattfinden und durch Dritte nur schwer nachvollziehbar sind.

2270 Websites revisited: Nur 24 minen noch

Die US-Forscher fragten sich nun, ob Crypto-Jacking seit dem Coinhive-Shutdown überhaupt noch weiterexistierte. Ihre Analyse, die sie im Whitepaper mit dem Titel "Is Cryptojacking Dead after Coinhive Shutdown?" beschreiben, bezieht sich dabei ausdrücklich auf heimliches Mining im Kontext von Websites. Krypto-Mining durch Schädlinge, die sich lokal im System einnisten, oder auch Strategien wie den Einbau von Mining-Code in Extensions für WordPress und Co. finden keine Berücksichtigung.

Die Adressen von insgesamt 2770 Websites, die das Team analysierte, entnahm es laut Whitepaper einer Liste, die Forscherkollegen bereits Anfang 2018 im Rahmen einer Studie (Hong et al.: A Systematical Study about Cryptojacking in the Real World) erstellten und am 23. September 2018 bei GitHub verfügbar machten. "We examined 2,770 websites located in CMTracker GitHub address", heißt es wörtlich im aktuellen Whitepaper.

Das Team um Hong hatte 2018 unter Verwendung eines selbstentwickelten Tools namens CMTracker auf den besagten Websites ausnahmslos Mining-Aktivitäten festgestellt. Eben dieses Tool nutzten die US-Forscher jetzt, um die 2770 Websites nochmals demselben Test zu unterziehen.

Sie kamen zu dem Ergebnis, dass 99 Prozent der analysierten Websites mittlerweile frei von aktivem Crypto-Jacking sind; auf den übrigen 24 Websites fanden sie insgesamt acht verschiedene noch aktive, funktionierende Mining-Skripte. Auf 300 Websites wiederum versuchten alte Coinhive-Coderelikte, sich erfolglos mit den Coinhive-Servern zu verbinden.

500 der 2770 ehemals infizierten Websites nahmen die Foscher zusätzlich auch manuell unter die Lupe.

Analyse mit Luft nach oben

Wirklich repräsentativ ist die Erhebung angesichts der eher kleinen Zahl analysierter Websites nicht. Zumal einige von ihnen offenbar gar nicht mehr erreichbar waren – in Bezug auf 500 manuell ausgewertete Websites aus der Gesamtmenge traf dies auf 18,4 Prozent zu.

Auch lässt sich aus den Zahlen, anders als die Forscher im Whitepaper suggerieren, nicht ableiten, dass erst der Coinhive-Shutdown im März 2019 zur schlagartigen Abnahme des Crypto-Jacking um 99 Prozent führte. Schließlich basieren die Zahlen auf einer bereits 2018 zusammengestellten Liste und aus dem Whitepaper geht nicht hervor, wann das US-Forscherteam die Websites erstmals analysierte.

Dennoch unterstreichen die Ergebnisse eine (angesichts des Monero-Kursverfalls und des Coinhive-Shutdowns absehbare) Entwicklung. Wirklich "tot" ist Crypto-Jacking nicht, schließen die Forscher; es spielt nur derzeit keine große Rolle. (ovw)