Pesquisadores da ESET descobriram que vários add-ons de terceiros para o Kodi estão a ser usados para distribuir malware de mineração de criptomoedas do Windows e Linux.
Foram já detectados alguns add-ons e repositórios de Kodi que lançam uma campanha para fazer mineração de Criptomoedas no Kodi. Esta campanha envia binários específicos para Linux ou Windows para os utilizadores destes add-on ou repositórios no Kodi.
Repositórios populares como o Bubbles e Gaia eram portadores de malware para fazer mineração de Bitcoins. O malware depois espalhou-se ainda mais pelo ecossistema Kodi.
O malware tem uma arquitectura de vários estágios e emprega medidas para garantir que não possa ser facilmente rastreado. É executado no Windows e Linux e explora a criptomoeda Monero (XMR).
As vítimas desta campanha fazem mineração de forma ilícita da seguinte maneira: Eles adicionam o URL de um repositório com o malware à tua instalação do Kodi para baixar alguns complementos. O complemento com malware é então instalado sempre que actualizas os teus complementos no Kodi.
Basicamente estes repositórios/add-ons com o malware que faz-com que o teu Windows ou Linux comecem a minerar Criptomoedas, têm complementos com scripts que fazem que te fazem minerar criptomoedas e que permanecem mesmo após várias actualizações e também eles recebem actualizações.
Os cinco principais países afectados por essa ameaça, de acordo com a ESET, são os Estados Unidos, Israel, Grécia, Reino Unido e Holanda, o que não surpreende, pois todos esses países estão na lista dos “principais países de tráfego”, segundo as estatísticas da Comunidade Unofficial Kodi Addon.
Outras explicações possíveis para estas distribuições geográficas são compilações Kodi específicas do país contendo os repositórios maliciosos ou repositórios mal-intencionados com bancos de utilizadores nos países em questão, como o repositório holandês XvBMC acima mencionado.
 |
| Distribuição das detecções ESET do "criptominer" |
Os principais repositórios que distribuíam o "criptominer" estão neste momento extintos, mas provavelmente as vitimas ainda podem ter este complemento instalado. Mas no entanto o "criptominer" pode estar espalhado noutros repositórios sem o nosso conhecimento ainda.
Como funciona?
Depois que as vítimas adicionam o repositório malicioso à sua instalação do Kodi, o repositório mal-intencionado atende a um complemento chamado script.module.simplejson - um nome que corresponde a um complemento legítimo usado por muitos outros complementos.
No entanto, enquanto outros repositórios possuem apenas o complemento script.module.simplejson na versão 3.4.0, o repositório malicioso serve esse complemento com o número de versão 3.4.1. Por isso aqui podem verificar logo se estão a minerar ou não.
O Kodi para actualizar basta o número de versão ser diferente que ele tem o Actualizar automático activado e receberão automaticamente actualização do módulo script.module.simplejson na versão 3.4.1 do repositório mal-intencionado.
Apenas os metadados deste arquivo são modificados, isto é, o ficheiro XML contém uma linha adicional que diz ao Kodi para baixar e instalar o complemento chamado script.module.python.requests, na versão 2.16.0 ou superior.
O complemento script.module.python.requests é servido apenas pelo repositório mal-intencionado. É uma modificação do complemento legítimo script.module.requests, contendo código Python adicional e malicioso.
De acordo com estas estatísticas da carteira Monero dos autores do malware, fornecida pela Nanopool, um mínimo de 4774 vítimas são afectadas pelo malware no momento da escrita, e geraram 62,57 XMR (cerca de 5700 EUR ou 6700 USD) a partir disso.
Como já foi explicado noutro artigo, um computador quando está a minerar pode estar a usar mais recursos que o normal, aparentando por vezes estar lento, sem causa aparente.
É preciso ter muita atenção aos Add-ons e repositórios que se instalam, optem pelos mais transparentes e conhecidos, e mesmo assim vão monitorizando o vosso Kodi e PC a ver não acham nada de estranho.
Fonte: welivesecurity
Post A Comment:
0 comments: