Kodi惡意外掛可在Windows和Linux下安裝挖礦木馬
近期,研究人員在某些非官方的Kodi開源多媒體程式碼庫中發現了自定義修改後的惡意外掛,而這些惡意外掛將會在Windows和Linux平臺中下載惡意挖礦軟體。
研究人員表示,他們發現了一個通過合法外掛來感染運行了Kodi裝置的惡意活動。在這個惡意活動中,網路犯罪分子主要針對的是Kodi使用者,並通過感染惡意挖礦軟體來挖門羅幣。
該活動似乎是從2017年12月份開始的,當時主要通過託管在Bubbles程式碼庫(現已失效)中的’script.module.simplejson’外掛來實現感染。由於Bubbles庫已經下線了,所以網路犯罪分子也把他們的惡意外掛轉移到了Gaia庫來進行傳播。
網路犯罪分子利用了Kodi驗證系統的漏洞
ESET的安全研究人員在XvBMC庫中發現了這個惡意活動,而這個託管庫最近因為侵犯版權的原因而被迫關閉,不過其他的託管庫中仍託管了修改後的惡意外掛。
由於Kodi外掛可以從多個程式碼託管庫中獲取,並且外掛的更新驗證也只需要版本號,因此很多受害者在更新Kodi外掛時就會重新整理並安裝到惡意外掛。
研究人員表示,正是因為很多程式碼託管庫並沒有對外掛的更新機制進行有效的安全保護,這也是惡意外掛能夠在Kodi生態系統中蔓延的主要原因之一。
目前,受該活動影響最大的五個國家分別是美國、以色列、希臘、英國以及荷蘭,而且這些國家同樣也是全球使用Kodi外掛最多的國家。
其中,’script.module.simplejson’為合法Kodi外掛的名稱,但是網路犯罪分子利用了Kodi更新機制中的漏洞,並利用更高版本編號來發布惡意Kodi外掛。
當時,’script.module.simplejson’的版本號為3.4.0,而惡意程式碼庫託管的惡意外掛版本為3.4.1。由於惡意外掛的版本號更高,Kodi使用者將會自動更新並安裝惡意外掛。
感染分階段進行
ESET的分析結果表明,網路犯罪分子修改了原始外掛的元資料,並控制Kodi來下載一個名叫’script.module.python.requests’的外掛(版本為2.16.0及以上)。
新下載的外掛中包含的Python程式碼會執行加密貨幣挖礦軟體,當惡意軟體成功安裝之後,負責下載惡意挖礦軟體的Python程式碼將會被刪除。
研究人員在報告中 ofollow,noindex" target="_blank">提到 :“在對程式碼進行了分析之後,我們認為惡意程式碼的開發人員絕對是對Kodi及其外掛結構非常瞭解的人。指令碼程式碼會對目標作業系統進行檢測,目前該惡意軟體僅支援Windows和Linux,Android和macOS還不會受其影響。接下來,它會連線遠端C&C伺服器,並執行一個程式碼下載模組。”
因此,研究人員建議廣大Kodi使用者儘量從官方Kodi託管庫中下載和更新外掛。
*參考來源: pingcomputer.com/news/security/malicious-kodi-add-ons-install-windows-and-linux-coin-mining-trojans/" rel="nofollow,noindex" target="_blank">bleepingcomputer ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM