Kodi附加组件中惊现门罗币恶意挖矿程序

Kodi附加组件中惊现门罗币恶意挖矿程序

Kodi开源媒体播放器(注①)的一些非官方存储库提供了一个人为修改过的附加组件,将导致用户在Windows和Linux平台上下载加密恶意挖矿程序,许多无意中下载了的人可能为幕后的犯罪分子赚钱。

这种攻击手段似乎是从2017年12月通过“script.module.simplejson”插件启动的,其托管网站Bubbles储存库现已不复存在,目前是通过Gaia储存库分发这一恶意附加组件。

犯罪分子利用更新验证系统

去年12月,ESET(注②)的安全研究人员首次在XvBMC存储库中发现了门罗币挖掘恶意软件,这个存储库最近因侵犯版权而被关闭,但还有其他存储库可能会提供修改版的附加组件。这些攻击性的附加组件会通过第三方Kodi插件和现有的Kodi在用户不知情的情况下更新并传播。

由于Kodi附加组件可从多个存储库中获得,并且更新验证仅需要版本号,因此受害者可以刷新托管该附加组件的存储库,将恶意附加组件添加到Kodi安装程序中。而其他存储库所有者在不知情的情况下,进行日常更新,意外导致了该恶意附加组件在Kodi生态系统中的大肆传播。

目前,受影响最大的五个国家是美国,以色列,希腊,英国和荷兰,这是XvBM存储库开发者所在的国家。

Kodi附加组件中惊现门罗币恶意挖矿程序

“script.module.simplejson”是合法Kodi附加组件的名称,但网络犯罪分子滥用了Kodi的更新系统,并发布了具有更高版本号的恶意变种。

目前“script.module.simplejson”的最高版本为3.4.0,但恶意存储库则提供3.4.1版本。由于存储库有更高的版本,Kodi用户将自动更新和安装该恶意版本。

感染分阶段传播

ESET的分析显示,犯罪分子修改了原始附加组件的元数据,以命令2.16.0版本或更高版本的Kodi下载名为“script.module.python.requests”的附加组件。

新下载的附加组件包含一个Python恶意代码,导入并执行密码器。成功安装恶意软件后,其中的Python字符串就会被删除。

Kodi附加组件中惊现门罗币恶意挖矿程序

研究人员指出,“编写代码的人显然很熟悉Kodi及其附加体系结构。这个脚本会检测其运行的操作系统(只限于Windows和Linux系统,Android和MacOS系统则不支持),再连接控制&命令服务器,下载执行与操作系统相匹配的二进制文件下载模块。”

该攻击流程可以简单的描述为:

1.修改合法附加组件(添加Python恶意代码)

2.强制命令Kodi下载该恶意附加组件

3.执行恶意附加组件

4.下载并执行加密挖矿软件

在两种情况下会产生感染威胁:一是用户指示Kodi检查受损的存储库URL以获取附加组件更新;二是用户安装的Kodi种已经包含了URL或已修改的附加组件。

最后,ESET推测,安装了第三方存储库的Kodi,可能也将给用户安全带来危害。

注①:Kodi(以前称为XBMC)是一个免费的开放源代码媒体播放器软件应用程序,由XBMC基金会(一家非营利技术联盟)开发。 Kodi可用于多种操作系统和硬件平台,配有软件10英尺用户界面,可用于电视机和遥控器。它允许用户播放和查看大多数流媒体,如来自Internet的视频,音乐,播客和视频,以及来自本地和网络存储媒体的所有常见数字媒体文件。

注②:ESET(英文:ESET, spol. s r.o.)是总部位于斯洛伐克布拉迪斯拉发的一家世界知名的电脑安全软件公司,创立于1992年,由两家私有公司合并而成,最知名的产品为NOD32防毒软件。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/tech/113607.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code