Hoe ‘cryptojackers’ munt kunnen slaan uit uw pc

Els Bellens
Els Bellens Technologiejournaliste bij Data News

Coinhive, een bedrijfje dat een ‘in-browser crypto miner’ aan de man brengt, probeert websites nieuwe inkomstenstromen aan te bieden. Maar het systeem wordt op dit moment massaal uitgerold door malwaremakers.

Nu online advertenties steeds minder waard zijn en geld voor ‘clicks’ moeilijker te genereren valt, zoeken sites naar andere manieren om de lichten aan te houden. Een van de creatiefste is misschien wel de ‘in-browser crypto miner’. Het idee daarachter is dat gebruikers wat van hun computerkracht lenen aan de website, die er vervolgens cryptogeld mee genereert.

Het systeem werd een maand geleden gelanceerd en krijgt alvast snel navolging, maar het wordt voorlopig vooral op de minder legale websites toegepast. En dat niet altijd met medeweten, laat staan toestemming, van de surfers.

Coinhive

Een van de eersten om ‘in-brower mining’ (in securitytermen soms ook ‘cryptojacking’ genoemd) te commercialiseren, is Coinhive. Het bedrijfje brengt een JavaScript miner uit voor de Monero Blockchain (een variant op de bekendere Bitcoins). De miner kan in een website worden geïnstalleerd. Hij gebruikt de CPU van surfers om Monero te ontginnen en zo wat geld voor de website te genereren. Het idee erachter is dat surfers wat van hun computerkracht leveren, in ruil voor bijvoorbeeld advertentievrije informatie, of voor bijvoorbeeld virtueel geld in een spelletje. De website kan via de miner inkomsten genereren afhankelijk van de tijd die surfers op de site doorbrengen.

Meteen malware

Een goed idee, dus, maar het werd bijna meteen opgepikt door de minder legale kanten van het internet. Een van de eerste bekende sites die met dit systeem experimenteerde is de licht beruchte downloadsite The Pirate Bay. Die testte het systeem twee dagen na lancering en liet het ook weer vallen na negatieve feedback van surfers. Zoals dat gaat, wordt Coinhive ook al op veel ‘squatter’ domeinen ingezet. Dat zijn de typische pagina’s die je tegenkomt als je een url verkeerd intikt (bv. Ammazon.com) en op een site terechtkomt vol met porno-advertenties, en nu dus ook crypto mining. Zelfs een bezoek van een paar seconden kan blijkbaar al winst genereren voor de eigenaars van deze sites.

Volgens onderzoek van Palo Alto Networks worden de miners op dit moment dan ook vooral op downloadsites gehost. Al vinden onderzoekers ze ondertussen ook op legitieme sites, die al dan niet gehackt werden. De Amerikaanse politieke website PolitiFact zou daarvan al slachtoffer zijn geweest, net als de officiele website van Christiano Ronaldo.

Attack of the Clones

Een goed idee blijft nooit lang alleen op het internet, zeker als er malwaregewijs geld mee valt te verdienen. Omdat Coinhive in veel gevallen efficiënter is dan Nigeriaanse prinsen of phishing sites, wordt het systeem ondertussen al in allerlei malware en plugins ingeschreven. Onderzoekers vonden het in de plugin SafeBrowse, waar het permanent Monero ontgint voor de maker van de plugin, terwijl gebruikers surfen.

En hoewel Coinhive het nog goed lijkt voor te hebben, zijn er ondertussen ook gekloonde versies van de software opgedoken. En bijna geen van die nieuwe versies voorziet een manier om surfers te laten weten dat er iets ontgint wordt. En al helemaal geen manier om dat te weigeren. Ze gedragen zich, zo meldt techsite BleepingComputer, als malware. Microsoft vond zo bijvoorbeeld twee diensten genaamd CoinBlind en CoinNebula, waarvan de laatste specifiek is gemaakt om ervoor te zorgen dat surfers geen misbruik kunnen rapporteren. Het lijkt er dus op dat die vooral de klanten met slechte bedoelingen proberen te overhalen.

Ontginnen tegenhouden

Coinhive is ondertussen zijn best aan het doen om de technologie als legitiem bedrijf aan de man te brengen. Nadat het de kritiek kreeg dat surfers zich niet altijd bewust zijn van wat er met hun browser gebeurt, kwam het bijvoorbeeld met de dienst AuthedMine. Die doet hetzelfde als Coinhive maar gebruikt een opt-in. Surfers moeten dus eerst hun toestemming geven voordat de site coins gaat ontginnen, met een venster dat bijzonder lijkt op de ‘cookie’ toestemmingen die veel sites al hebben. Of dat het tij gaat keren, is nog maar de vraag. Steeds meer adblockers beginnen de technologie namelijk standaard tegen te houden. Coinhive zal dus nog zijn werk hebben om zijn technologie te legitimeren.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content