当前位置: 主页 /

Kodi播放器组件助推恶意挖矿运动

本文发表于: 2018-09-15 22:15

点击蓝色字体,一键关注我们

“ 梦之想 网络安全护航者 


Kodi播放器最近因版权侵权警告关闭了第三方插件库XvBMC,插件库被关闭后,ESET发现它或许从2017年12月开始就不知不觉变成恶意挖矿活动的一部分。这是第二起通过Kodi外接程序大规模传播恶意软件的公开案例,也是通过Kodi平台发起的第一次公开的挖矿活动。有趣的是,这一活动将Linux或windows特定的二进制文件推向了这些操作系统上的Kodi粉丝。

对于不熟悉Kodi平台的人而言,流行的媒体播放器软件本身并不提供任何内容,但是用户可以通过安装各种插件来扩展软件的功能,这些插件可以在官方的Kodi存储库和众多的第三方存储库中找到。一些第三方插件允许用户访问盗版内容,引发了公众对Kodi的争议。

最近,侵犯版权的外接程序也被指控将用户暴露于恶意软件中,但除了在一个流行的第三方Kodi外接程序中添加了DDoS模块外,迄今为止还没有通过Kodi外接程序传播恶意软件的证据。

据研究,ESET在XvMBC存储库中发现的恶意软件分别于2017年12月和2018年1月首次被添加到流行的第三方附加存储库Bubbles和Gaia(Bubbles的一个分支)中。通过这两个来源,以及通过其他第三方插件库和现成的Kodi构建的的不知情用户的更新例程,恶意软件在Kodi生态系统中进一步传播。

该恶意软件具有多级结构,并采用措施确保其最终有效负载(cryptominer)无法轻松追溯到恶意附加组件。cryptominer在Windows和Linux上运行,并挖掘加密货币门罗币。ESET当前暂未看到针对Android或macOS设备的版本。

活动的受害者最终以三种方式之一运行恶意软件:

  • 用户将恶意存储库的URL添加到他们的Kodi安装内容中,以便下载一些附加组件。然后,只要他们更新了Kodi附加组件,就会安装恶意加载项。

  • 用户安装了现成的Kodi版本,其中包含恶意存储库的URL。只要他们更新了Kodi附加组件,就会安装恶意加载项目。

  • 用户安装了一个现成的Kodi版本,版本内含恶意插件,但没有链接到存储库以进行更新。虽然发起了初始攻击,但没有收到恶意附加组件的进一步更新要求。但是,如果安装了cryptominer,它将保持并接收更新。


根据ESET的遥测数据,受此威胁影响最大的五个国家是美国、以色列、希腊、英国和荷兰,这并不奇怪,因为所有这些国家都在最近非官方的Kodi Addon社区统计数据中流量排名均属前列。对地理分布的其他可能解释是特定国家/地区的Kodi版本,其中包含恶意存储库或在相关国家/地区具有用户基础的恶意存储库。

图1 - ESET检测的挖矿系统分布

当ESET研究者撰写分析文章时,恶意软件最初开始传播的存储库要么已经失效(bubble),要么不再为恶意代码服务(Gaia)。但是,在其设备上安装了cryptominer的不知情的受害者可能仍会受到影响。最重要的是,恶意软件仍然存在于其他存储库和一些现成的Kodi架构中,而存储库和架构的开发者同样有很大的可能不知情。

图2 - 活动时间表

根据ESET的分析报告,许多设备当前仍然在为犯罪分子挖掘门罗币,至少有4774名受害者受到恶意软件的影响。如果您在Windows或Linux设备上使用Kodi,并且已经从第三方存储库或现成的Kodi构建中安装了附加组件,那么您可能已经受到了这种加密活动的影响。要检查您的设备是否已被盗用,同时请使用可靠的杀毒软件解决方案进行扫描。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

点击阅读原文了解更多



发文时比特币价格:44971.8838778
柚子eos价格:37.596660823
以太坊价格:1545.71604214
etc价格:77.9273366756

0 个评论

要回复文章请先登录注册