Crooks利用Kodi Media Player附件进行恶意软件分发

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

安全专家发现了一个Monero加密活动,滥用Kodi附加组件来提供针对Linux和Windows系统的矿工。

骗子滥用Kodi Media Player分发恶意软件,ESET的研究人员最近发现了一项破坏大约5,000台计算机的加密活动。

大多数感染发生在美国,以色列,希腊,英国和荷兰。

Crooks利用Kodi Media Player附件进行恶意软件分发

Kodi用户可以通过安装官方Kodi存储库和多个第三方商店中提供的附加组件来添加新功能

攻击者可以通过破坏由Kodi媒体播放器自动更新的附加组件来传递恶意代码。

根据ESET研究人员的说法,攻击者可以使用三种不同的机制将Kodi定位为传播恶意软件:

他们将恶意存储库的URL添加到他们的Kodi安装中,以便下载一些附加组件。然后,只要他们更新了Kodi附加组件,就会安装恶意加载项。
他们安装了现成的Kodi版本,其中包含恶意存储库的URL。然后,只要他们更新了Kodi附加组件,就会安装恶意加载项。
他们安装了一个现成的Kodi版本,其中包含一个恶意插件,但没有链接到存储库以进行更新。它们最初被泄露,但没有收到恶意附加组件的进一步更新。但是,如果安装了cryptominer,它将保持并接收更新。
此广告系列中分发的恶意代码可以破坏Windows和Linux平台。这是一个多阶段恶意软件,它实施了一些措施,使分析师难以将恶意代码追溯到附加组件。

攻击者将恶意附加组件添加到XvMBC,Bubbles和Gaia存储库中。

在受害者将恶意存储库添加到他们的Kodi安装后,恶意存储库会提供名为script.module的附加组件。simplejson - 与许多其他加载项使用的合法加载项匹配的名称。但是,其他存储库只有script.module。simplejson add-on版本为3.4.0,恶意存储库为版本号为3.4.1的附加组件提供服务。继续存储库。

由于Kodi依赖于版本号进行更新检测,所有启用了自动更新功能的用户(这是一种常见的默认设置)将自动接收script.module。 来自恶意存储库的 simplejson 版本3.4.1。

虽然此活动中使用的主要存储库现在已关闭或已清除,但许多设备仍在运行恶意加载项以挖掘Monero。

该活动背后的骗子已经开采了价值约6,700美元的Monero。

根据Nanopool提供的恶意软件作者的Monero钱包的这些统计数据,在撰写本文时,至少有4774名受害者受到恶意软件的影响,并产生了62,57 XMR(约5700欧元或6700美元)写这篇文章。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: