Ein Sprichwort sagt "Das Geld liegt auf der Straße". In diesem Falle liegt das Geld jedoch auf dem Parkplatz eines Supermarktes. Zumindest, wenn man nach einem Aushang geht, der uns von einem Leser zugespielt wurde. [...]
Normalerweise erreichen uns schädliche, verdächtige Dateien oder Links per Mail. In diesem Fall jedoch wurde uns ein Foto zugesandt, auf dem ein „Werbebanner“ aus Papier zu sehen ist und das für Kryptomining per Browser Werbung machte. Der Einsatz von Browser-Plugins für das Schürfen von Kryptowährungen ist nicht neu. Neu ist allerdings, auch außerhalb des Internets in der analogen Welt Nutzer für diese Art des Minings zu gewinnen.
Ein aufmerksamer Leser hat uns das nebenstehende Bild mit der Bitte zugesandt, doch einmal einen Blick darauf zu werfen. Neugierig wie wir sind, konnten wir natürlich nicht widerstehen. Wir haben bereits in der Vergangenheit im G DATA SecurityBlog über aktuelle Trends beim Kryptomining berichtet. Grob zusammengefasst stellen Benutzer die Rechenleistung ihres Computers für das Mining zur Verfügung. Idealerweise passiert dies mit Wissen und Einverständnis des Benutzers.
Entwarnung für die Zielgruppe – vorerst
Konkret spricht der Aushang Nutzer von Chrome und Firefox an – diese sollten über einen Link ein Addon in ihrem Browser installieren, um „ohne Risiko und kostenlos“ Bitcoins zu minen. Wir haben uns das hier beworbene Add-on „Cryptotab“ angesehen. Die gute Nachricht: Wir konnten keine Auffälligkeiten feststellen (Stand: 30. 5. 2018). Es handelt sich dabei nicht um Schadsoftware, aber man könnte den Programmzusatz als „Potenziell unerwünschtes Programm“ klassifizieren. Andererseits: Der Benutzer muss das Addon aktiv selbst installieren. Auf dem Aushang befindet sich zudem ein QR-Code, der auf eine Registrierungsseite verweist. Dieser Link wird im Verlauf noch wichtig.
Zusätzlicher Ballast
Also ist eigentlich alles gut, oder? Jein. Das Addon selbst besitzt zwar keine Schadfunktion, allerdings gibt es zwei Auffälligkeiten: Zum einen wird der Anwender nach Installation des Add-ons gebeten, einen weiteren Programmzusatz namens „mybit“ zu installieren. Dabei handelt es sich um eine sogenannte „Custom-Suchmaschine“, wie sie zum Beispiel bei Firefox oben rechts im Fenster zu finden ist.
Wer das Add-on installiert und eine Onlinesuche über das „mybit“-Suchfeld startet, erhält eine Ergebnisseite der Suchmaschine von Yahoo. Was mit den eingegebenen Suchbegriffen geschieht, lässt sich nur vermuten. Sicher ist, dass die Eingaben an den Anbieter des Addons gesendet werden.
Motivation und Marketing
Wer sich jetzt fragt, warum jemand ausgerechnet mit Papieraushängen Werbung für das Mining Addon macht, befindet sich in guter Gesellschaft. Wir haben uns diese Frage ebenfalls gestellt. Die Antwort steckt im QR-Code auf dem Zettel und ist auf der Webseite des Anbieters zu finden: Es handelt sich um eine altbekannte Marketingstrategie namens „Affiliate Marketing“. Macht jemand erfolgreich Werbung für das Addon, so erhält er eine Prämie in Höhe von 15 Prozent des durch den neu geworbenen Nutzer geschürften Kryptogeldes (auch wenn nicht ganz klar ist, über welchen Zeitraum diese Rechnung gilt). Um die Prämie ausgezahlt zu bekommen, muss derjenige, der für das Addon wirbt, nur sicherstellen, dass sein eindeutiger Registrierungslink genutzt wird – und dieser steckt im QR-Code auf dem Aushang.
Aus reiner Nächstenliebe wird diese Art Werbung also nicht gemacht. Jedoch hätten wir eher im Internet mit dieser Werbung gerechnet – und nicht auf einem Supermarktparkplatz. Fazit: Kurios und nicht wirklich gefährlich, aber interessant.
* Tim Berghoff ist Sicherheitsexperte bei G DATA.
Be the first to comment