Eset попереджає користувачів медіаплеєра Kodi про кібератаку.

Eset попереджає користувачів медіаплеєра Kodi про кібератак. Як мінімум три репозиторії з плагінами Kodi використовуються зловмисниками для поширення шкідливих криптомайнерів.

Kodi – популярний медіаплеєр на основі відкритого вихідного коду. У ньому немає власного контенту; щоб отримати доступ до джерел аудіо та відеофайлів, користувачі самостійно встановлюють доповнення з офіційного репозиторію та сторонніх сховищ. Фахівці Eset встановили, що зловмисники використовують екосистему Kodi для поширення криптомайнерів.

Шкідлива кампанія триває з грудня 2017 р. Атакуючі скомпрометували репозиторії Bubbles, Gaia та XvBMC, розмістивши в них шкідливий плагін simplejson під виглядом нової версії.

Модифікована зловмисниками версія simplejson має номер 3.4.1 (номер легітимного доповнення – 3.4.0). У Kodi за замовчуванням включено функцію автоматичного оновлення плагінів, тому користувачі скомпрометованих репозиторіїв отримали заражену «нову версію» відразу після появи. Деякі постраждалі завантажили шкідливий код разом із готовими збірками Kodi.

Далі шкідлива програма визначає операційну систему жертви і, розпізнавши Windows або Linux, завантажує відповідний криптомайнер.

На скомпрометованих машинах видобувається криптовалюта Monero (XMR). На момент підготовки дослідження було заражено не менше 4774 комп'ютерів та видобуто 62,57 XMR.

За даними телеметрії Eset, за кількістю заражень лідирують США, Ізраїль, Греція, Великобританія та Нідерланди – у цих країнах Kodi користується високою популярністю.

Цей інцидент – друга відома атака на користувачів екосистеми Kodi та перший епізод поширення криптомайнерів через систему доповнень для медіаплеєра. За прогнозами фахівців Eset, з посиленням захисту операційних систем плагіни для популярних програм стануть однією з пріоритетних цілей зловмисників.

Інші новини