Пользователи Kodi получали криптомайнер с фальшивым аддоном

Вредоносная кампания, нацеленная на пользователей медиаплеера Kodi, зафиксирована специалистами ESET. Как утверждают эксперты, злоумышленники распространяли загрузчик криптомайнера под видом новой версии одного из дополнений к программе. Атака стартовала в декабре 2017 года и затронула пользователей из США, Израиля, Греции, Великобритании и Нидерландов.

Система обновлений Kodi позволяет скачивать апдейты аддонов как из официального репозитория, так и из независимых хранилищ. Специалисты обнаружили модифицированную версию модуля simplejson на сервере Bubbles, который позднее был закрыт за нарушение авторских прав. В дальнейшем программа, содержащая вредоносный код, была найдена еще на нескольких платформах, включая Gaia и XvBMC.

Злоумышленники присвоили инфицированному дополнению номер 3.4.1, в то время как легитимный аддон имел версию 3.4.0. Пользователь, прописавший один из скомпрометированных репозиториев как источник обновлений, автоматически получал зараженную программу после ее появления на сервере. Кроме того, часть жертв загрузили вредонос вместе с готовыми сборками Kodi, содержавшими simplejson.

После установки скрипт давал указание Kodi скачать дополнение script.module.python.requests 2.16.0 или выше, необходимое ему для работы. Этот аддон был размещен только на принадлежащем злоумышленникам сервере и являлся модифицированной версией макроса script.module.requests. Программа доставляла на компьютер исполняемый файл, а после его успешного извлечения из архива удаляла себя.

Установленный модуль доставлял на устройство полезную нагрузку — генератор криптовалюты Monero. Как отмечают специалисты, компоненты вредоносной цепочки были написаны человеком, хорошо знакомым с архитектурой Kodi. Скрипт связывался с командным сервером и устанавливал майнер для Windows или Linux, в зависимости от используемой на компьютере ОС.

Сторонние аддоны и плагины нередко служат источником ИБ-угроз для пользователей. Как правило, цепочка поставок мелких разработчиков имеет слабую защиту и может быть легко взломана киберпреступниками. В июле этого года хакерам удалось подменить расширение Hola в официальном репозитории браузера Chrome. Модифицированная версия содержала зловред, перенаправлявший пользователей электронных кошельков MyEtherWallet на фишинговый сайт и похищавший их секретные ключи.

Источник: https://threatpost.ru/kodi-users-get-miner-with-fake-add-on/28224/