Атака на пользователей Kodi для скрытого майнинга криптовалюты

Компания ESET сообщила о выявлении вредоносного кода в репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, устанавливавшие дополнения из репозиториев Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющего майнинг криптовалюты.

Первые вредоносные изменения были добавлены в репозитории еще в декабре 2017 года и январе 2018 года. Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищенному контенту и платным кабельным/IPTV каналам. В настоящее время все проблемные репозитории уже закрыты, после инициированных антипиратской группой BREIN судебных разбирательств, касающихся нарушения авторских прав.

После установки проблемного дополнения с одним из следующих обновлений в качестве зависимости в систему пользователя автоматически загружалось еще одно дополнение, которое анализировало текущее программное окружение и загружало соответствующий ему код для майнинга (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU). Поражались различные системы на базе Windows и Linux. Точных инструкций по определению факта компрометации пользовательского окружения не приводится, кроме субъективной оценки возрастания нагрузки на CPU.

По предварительным данным жертвами вредоносных дополнений стали 4774 пользователей, а общая сумма полученная злоумышленниками в результата майнинга составляет 62 Monero (около 6800 долларов). Большая часть жертв находится в США, Израиле, Греции, Великобритании и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям Kodi следует проявлять осторожность при установке дополнений и использовании сторонних сборок.