Kodi播放器最近因版权侵权警告关闭了第三方插件库XvBMC,插件库被关闭后,ESET发现它或许从2017年12月开始就不知不觉变成恶意挖矿活动的一部分。这是第二起通过Kodi外接程序大规模传播恶意软件的公开案例,也是通过Kodi平台发起的第一次公开的挖矿活动。有趣的是,这一活动将Linux或windows特定的二进制文件推向了这些操作系统上的Kodi粉丝。
最近,侵犯版权的外接程序也被指控将用户暴露于恶意软件中,但除了在一个流行的第三方Kodi外接程序中添加了DDoS模块外,迄今为止还没有通过Kodi外接程序传播恶意软件的证据。
该恶意软件具有多级结构,并采用措施确保其最终有效负载(cryptominer)无法轻松追溯到恶意附加组件。cryptominer在Windows和Linux上运行,并挖掘加密货币门罗币。ESET当前暂未看到针对Android或macOS设备的版本。
活动的受害者最终以三种方式之一运行恶意软件:
根据ESET的遥测数据,受此威胁影响最大的五个国家是美国、以色列、希腊、英国和荷兰,这并不奇怪,因为所有这些国家都在最近非官方的Kodi Addon 区统计数据中流量排名均属前列。对地理分布的其他可能解释是特定国家/地区的Kodi版本,其中包含恶意存储库或在相关国家/地区具有用户基础的恶意存储库。
图1 – ESET检测的挖矿系统分布
当ESET研究者撰写分析文章时,恶意软件最初开始传播的存储库要么已经失效(bubble),要么不再为恶意代码服务(Gaia)。但是,在其设备上安装了cryptominer的不知情的受害者可能仍会受到影响。最重要的是,恶意软件仍然存在于其他存储库和一些现成的Kodi架构中,而存储库和架构的开发者同样有很大的可能不知情。
图2 – 活动时间表
根据ESET的分析 告,许多设备当前仍然在为犯罪分子挖掘门罗币,至少有4774名受害者受到恶意软件的影响。如果您在Windows或Linux设备上使用Kodi,并且已经从第三方存储库或现成的Kodi构建中安装了附加组件,那么您可能已经受到了这种加密活动的影响。要检查您的设备是否已被盗用,同时请使用可靠的杀毒软件解决方案进行扫描。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!