Как сообщает компания ESET в репозиториях проекта Kodi (в прошлом XBMC) были обнаружены вредоносные дополнения для скрытого майнинга криптовалюты.
Первым репозиторием, который подвергся заражению был голландский репозиторий XvMBC.
Предположительно, майнер был размещен там в декабре 2017 года. Далее вредоносный код попал в репозиторий Bubbles and Gaia (январь 2018).
Вектором для атаки служило дополнение script.module.simplejson, от которого зависимы множество других дополнений. При добавлении инфицированных репозиториев, через некоторое время, в них появлялось ложное обновление для аддона script.module.simplejson.
Далее, как зависимость для нового вредоносного дополнения, загружался модуль script.module.python.requests. Это, последнее, дополнение анализировало программное окружение хост-системы и загружало соответствующий ему исполняемый код для майнинга криптовалюты Monero (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU). После загрузки исполняемого файла модуль-загрузчик удалял себя из системы для заметания следов.
Заражению подвергались системы на базе Linux и Windows, о заражении систем на базе Android/macOS информации нет.
Существовало 3 способа проникновения вредоноса на машину жертвы:
- Прописать URL зараженного репозитория.
Майнер скачивался при обновлении дополнений;
- Скачать готовую сборку Kodi, которая уже содержит код загрузки майнера;
- Скачать готовую сборку, содержащую вредоносное дополнение.
Такая сборка не сможет получать обновление из репозитория, но майнер все равно проникнет в целевую систему.
По предварительным данным жертвами вредоносных дополнений стали 4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США, Израиле, Греции, Великобритании и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям Kodi следует проявлять осторожность при подключении репозиториев, установке дополнений и использовании сторонних сборок.
В данный момент оба репозитория закрыты по обвинению в нарушении авторских прав, выразившемся в том, что они содержали популярные дополнения (Add-on) через которые пользователи могли получать доступ к нелегальному контенту.
>>> Подробности
