0

Мошенники майнят криптовалюту через популярный медиаплеер

Мошенники майнят криптовалюту через популярный медиаплеер
Пользователи медиаплеера Kodi оказались в зоне риска. Как минимум три источника с плагинами Kodi используются злоумышленниками для распространения вредоносных криптомайнеров.

Kodi — популярный медиаплеер на основе открытого исходного кода. В нем нет собственного контента, и чтобы получить доступ к источникам аудио и видеофайлов, пользователи самостоятельно устанавливают дополнения из официальной библиотеки и сторонних хранилищ. Специалисты ESET установили, что злоумышленники используют экосистему Kodi для распространения криптомайнеров.

Вредоносная кампания продолжается с декабря 2017 года. Атакующие скомпрометировали репозитории Bubbles, Gaia и XvBMC, разместив в них вредоносный плагин simplejson под видом новой версии.

Модифицированная злоумышленниками версия simplejson имеет номер 3.4.1 (номер легитимного дополнения – 3.4.0). В Kodi по умолчанию включена функция автоматического обновления плагинов, поэтому пользователи скомпрометированных репозиториев получили зараженную «новую версию» сразу после ее появления. Некоторые пострадавшие загрузили вредоносный код вместе с готовыми сборками Kodi.

Далее вредоносная программа определяет операционную систему жертвы и, распознав Windows или Linux, загружает соответствующий криптомайнер. На скомпрометированных машинах добывается криптовалюта Monero (XMR). На момент подготовки исследования было заражено не меньше 4774 компьютеров и добыто 62,57 XMR (около 500 000 рублей). По числу заражений лидируют США, Израиль, Греция, Великобритания и Нидерланды – в этих странах Kodi пользуется высокой популярностью.

Данный инцидент – вторая известная атака на пользователей экосистемы Kodi и первый эпизод распространения криптомайнеров через систему дополнений для медиаплеера. По прогнозам специалистов, по мере усиления защиты операционных систем плагины для популярных программ станут одной из приоритетных целей злоумышленников.

Тем временем специалисты по кибербезопасности предупреждают о новой уловке интернет-мошенников, о чем ранее писал Геймбокс. Аферисты разместили в Google Play поддельное криптовалютное приложение стоимостью 334,99 евро, и жертвами стали более ста человек.

Приложение под названием Ethereum предлагало пользователям купить одноименную криптовалюту – один эфир (ETH). Стоимость приложения – 334,99 евро, курс эфира на момент обнаружения подделки – около 240 евро. Проблема в том, что покупка приложения не имеет ничего общего с покупкой эфиров. Единственная функция приложения – показ логотипа обещанной криптовалюты.

Также по теме