Chrome Web Storeに偽MinerBlock拡張機能。ユーザーに隠れて動画再生か
昨年から、任意のウェブサイトを訪問しているユーザーのCPUを無断で使用してMonero等の暗号通貨をマイニングする手法が横行している。
動画サイト等の滞在時間が長くなる不正にマイニングスクリプトを注入して、暗号通貨を取得する手法も見られた。
そうした背景から、最近はChromeやFirefoxのExtensionストアにマイニングスクリプトの実行をブロックするExtensionが多く見られるようになった。
MinerBlockというExtensionもその1つだ。
Chrome Web Storeを見ると、MinerBlockをダウンロードしたユーザーは約7万人に登り、非常に多くのユーザーにダウンロードされている。
しかし、セキュリティ研究者のBryan Campbell氏の指摘によれば、偽のMinerBlockが蔓延しているという。
”本物”のMinerBlockについて
本物のMinerBlockの開発者はCryptoMineDev氏である。
(本物のMinerBlockの追加画面。BleepingComputerより引用。)
本物のMinerBlockは、使用している端末がMinerBlockのデータベースに登録されているマイニングサービスへの通信をブロックする機能を持つ。
”偽物”のMinerBlockについて
一方、偽物のMinerBlockの開発者はegopastor2016と名乗る者だ。
Chome Web Srore上では、egopastor2016氏が開発したMinerBlockは既に削除されているようだが、同名で”crypto.converter”というExtensionを発見した。
ロシア語圏と関係か
下記の画像を見れば分かるが、Extensionの説明がロシア語で書かれている。
したがってegopastor2016氏は、少なくともロシア語圏となんらかの関わりを持つ事が推測される。
実際に偽物のMinerBlockの説明にもロシア語が使用されていたようだ。
(偽物のMinerBlockの追加画面。BleepingComputerより引用。)
バックグラウンドで動画再生
偽MinerBlockの抱える問題は、ユーザーの許可なしにバックグラウンドで動画を再生する事だ。
ユーザーが偽MinerBlockをダウンロードして”Enable”設定にすると、”egopastor.biz”にアクセスする。
偽MinerBlockはegopastor.bizから”タスク”のセットを受取るようだ。
受け取るセットには、どのオプションを使用して、どの動画URLにアクセスするのかが記述されているという。
以下の画像は、Fiddlerを使用で偽MinerBlockの通信の中身を分析した画面である。
(FiddlerでHTTPトラフィックを分析。BleepingComputerより引用。)
この画像では、ロシアの動画サイトにアップロードされている動画を再生している。
動画が再生されるとすぐに端末のCPU使用率が100%に到達し、動画再生が終了すると同時にCPU使用率が元に戻る。
以下は、動画を再生している時のCPU使用率を示す画像だ。
(CPU使用率が100%に跳ね上がる。BleepingComputerより引用。)
明確な目的は不明
何故バックグラウンドで動画を再生するのか、明確な目的は判明していない。
恐らく「動画の再生回数をかさ増しする為ではないか」と推測されている。
対策
既に偽のMinerBlockはChrome Web Storeからは削除されている為、本物のMinerBlockと混同する事はないだろう。
しかし、万が一Chromeに追加してしまった場合には、Chromeの拡張機能設定から削除するといい。
また、Chromeの拡張機能をダウンロードする際には、開発者の情報を見て本物かどうか確かめるようにしよう。
ICO
URL
Extensionの接続先
egopastor.biz