Coinhive:Diese Software schürft heimlich digitales Geld, während Sie surfen

FILE PHOTO: Man types on a computer keyboard in front of the displayed cyber code in this illustration picture

Die Entwickler haben die Malware eher aus Versehen erfunden, sagen sie.

(Foto: REUTERS)
  • Coinhive läuft auf vielen Webseiten und in Apps heimlich im Hintergrund. Das Programm belastet den Rechner und generiert die Digitalwährung Monero.
  • Die normalen Nutzer haben davon nichts, das Geld landet bei den Betreibern der Apps und Webseiten sowie bei den Entwicklern von Coinhive
  • Eine Malware wollten die Entwickler eigentlich nicht erfinden, dennoch verdienen sie bei jedem heimlich generierten Monero mit.

Von Marvin Strathmann

Mit Coinhive bestehlen momentan viele Seitenbetreiber und App-Entwickler die Nutzer. Das Programm raubt ihnen Strom und Rechenkraft, denn es generiert heimlich die digitale Währung Monero für die Menschen hinter der Webseite oder der App. Dafür greift Coinhive im Hintergrund auf den PC oder das Smartphone des ahnungslosen Nutzers zu und der Betroffene bleibt nur mit einem leeren Akku oder einem ausgelasteten Rechner zurück, während der digitale Kontostand von fremden Menschen steigt.

Ursprünglich wurde Coinhive für Pr0gramm entwickelt, ein deutschsprachiges Imageboard, auf dem Nutzer Bilder und Videos teilen: Ein Mix aus Reddit, 9Gag und 4Chan. Für die Bundesprüfstelle für jugendgefährdende Medien ist es dagegen eine Gefahr für die Jugend, sie hat Pr0gramm indiziert.

Da auch das Imagebord Geld benötigt, um beispielsweise Serverkosten zu bezahlen, kamen die Entwickler auf die Idee, dass die Nutzer der Seite eine digitale Währung generieren könnten.

Monero auch im Darknet beliebt

Die Entwickler haben bereits vor einigen Jahren mit Krypto-Minern experimentiert und sind dabei auf die digitale Währung Monero gestoßen. Der Vorteil: Normale Desktop-Computer oder Laptops können Moneros generieren. Wer etwa die deutlich populärere Währung Bitcoin erzeugen möchte, muss sehr viel Geld investieren und spezielle Rechner anschaffen, damit es sich lohnt.

Monero setzt außerdem mehr auf die Privatsphäre als Bitcoin. Alle Transaktionen mit Bitcoin können öffentlich eingesehen werden. Bei Monero wird dagegen ein privater Schlüssel generiert, mit dem nur der Empfänger des Monero-Geldes die Transaktion nachvollziehen kann. So hat auch die Darknet-Plattform Alphabay seit Ende 2016 auf Monero gesetzt. Alphabay wurde im Juli von amerikanischen und europäischen Ermittlern geschlossen.

30 Prozent für Coinhive, 70 Prozent für die Betreiber

Ebenfalls seit Juli können die Nutzer von Pr0gramm Pr0mium schürfen. Die Nutzer können sich damit eine Mitgliedschaft kaufen. Im Gegensatz zu den Apps und Seiten, die Coinhive heimlich einsetzen, wird hier das Schürfen erklärt und es als freiwillige Option angeboten.

Geld war nicht der einzige Grund für den Krypto-Miner, denn akute Geldprobleme haben die Entwickler nicht. "Wir probieren trotzdem gerne Neues - auch weil wir Spaß am Programmieren haben und uns die Technologie interessiert", schreiben die Entwickler, die anonym bleiben wollen, per Mail.

Aus dem Experiment wurde im September die Webseite Coinhive.com. Dort kann jeder das Programm herunterladen und es für die eigene Webseite oder App verwenden. Das Programm landete auf der Webseite von Weltfußballer Christiano Ronaldo, es war in einer App integriert, mit der Katholiken den Rosenkranz beten konnten und wurde von The Pirate Bay verwendet. Die Macher erhalten eine Provision: 30 Prozent der geschürften Moneros gehen auf ihr Konto, 70 Prozent gehen an die Betreiber der Webseiten und Apps. Sie profitieren also von jedem Mining, egal ob der Nutzer davon weiß oder nicht.

Für die Sicherheitsforscher vom israelischen Unternehmen Checkpoint gehört Coinhive daher in die Top-Ten der gefährlichsten Malware vom Oktober. Coinhive hat nach Angaben der Entwickler etwa 65 000 Nutzer, von denen etwa 8000 aktiv seien.

Sie haben eine neue Malware-Welle ausgelöst

Viele IT-Sicherheitsfirmen haben darauf reagiert, so hat etwa das Unternehmen Malwarebytes Webseiten gesperrt, die das Coinhive eingesetzt haben. Im Oktober wurde Coinhive.com durchschnittlich acht Millionen Mal pro Tag und etwa 248 Millionen Mal im Monat geblockt, heißt es von Malwarebytes. Coinhive hat daraufhin Authed Mine veröffentlicht. Bei dieser Programm-Version muss der Nutzer erst zustimmen, bevor der Rechner für Krypto-Mining verwendet wird.

"Die heimliche Nutzung des Miners ist bei uns nur noch eine 'Fußnote' in der Dokumentation - alle Code-Beispiele nutzen Authed Mine und den Opt-In-Screen", schreiben die Entwickler. Aber sie schreiben auch, dass sie - praktisch aus Versehen - die neue Schadsoftware-Welle ausgelöst haben: "Die Meinung eines Users, 'wir hätten eine ganz neue Sorte Malware erfunden', können wir zwar nicht ganz abstreiten, stolz sind wir darauf aber nicht."

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: