ESET: пользователи медиаплеера Kodi заражены криптомайнером

18.09.2018

ESET предупреждает пользователей медиаплеера Kodi о кибератаке. Как минимум, три репозитория с плагинами Kodi используются злоумышленниками для распространения вредоносных криптомайнеров.

Kodi — популярный медиаплеер на основе открытого исходного кода. В нем нет собственного контента; чтобы получить доступ к источникам аудио и видеофайлов, пользователи самостоятельно устанавливают дополнения из официального репозитория и сторонних хранилищ. Вредоносная кампания продолжается с декабря 2017 года. Атакующие скомпрометировали репозитории Bubbles, Gaia и XvBMC, разместив в них вредоносный плагин simplejson под видом новой версии.

Модифицированная злоумышленниками версия simplejson имеет номер 3.4.1 (номер легитимного дополнения — 3.4.0). В плеере по умолчанию включена функция автоматического обновления плагинов, поэтому пользователи скомпрометированных репозиториев получили зараженную «новую версию» сразу после ее появления. Некоторые пострадавшие загрузили вредоносный код вместе с готовыми сборками программы.

Далее вредоносная программа определяет операционную систему жертвы и, распознав Windows или Linux, загружает соответствующий криптомайнер.

На скомпрометированных машинах добывается криптовалюта Monero (XMR). На момент подготовки исследования было заражено не меньше 4774 компьютеров и добыто 62,57 XMR (около 500 000 рублей).

По данным телеметрии, по числу заражений лидируют США, Израиль, Греция, Великобритания и Нидерланды — в этих странах плеер пользуется высокой популярностью.

Данный инцидент — вторая известная атака на пользователей экосистемы медиаплеера и первый эпизод распространения криптомайнеров через систему дополнений. По прогнозам специалистов антивирусной компании, по мере усиления защиты операционных систем плагины для популярных программ станут одной из приоритетных целей злоумышленников.

Более подробная информация о компрометации репозиториев Kodi и индикаторы заражения — в блоге ESET на Хабрахабре.