forum.opennet.ru

Составление сообщения

Исходное сообщение

"Атака на пользователей Kodi для скрытого майнинга криптовалюты"
Отправлено opennews, 14-Сен-18 13:12

Компания ESET сообщила (https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launc.../) о выявлении вредоносного кода в  репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, добавившие в   Kodi репозитории Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющем майнинг криптовалюты.
Первые вредоносные изменения были добавлены в репозитории  ещё в  декабре 2017 года и январе 2018 года.  Репозитории Bubbles, Gaia и XvBMC  в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам. В настоящее время все проблемные репозитории уже закрыты, после инициированных антипиратской группой BREIN  судебных разбирательств (https://torrentfreak.com/kodi-addon-repo-operator-shuts-down.../), касающихся нарушения авторских прав.
Атака производилась через манипуляцию с популярным дополнением script.module.simplejson, которое используется во множестве других дополнений. При добавления проблемных репозиториев в Kodi, через некоторое время в данных репозиториях появлялся более новый фиктивный выпуск script.module.simplejson. Kodi воспринимал его как обновление и загружал его. В качестве зависимости вместе с новым фиктивным выпуском этого дополнения в систему пользователя автоматически загружалось ещё одно дополнение script.module.python.requests.

Данное дополнение включало запутанный блок кода, который  анализировал текущее программное окружение, загружал соответствующий ему исполняемый файл для майнинга (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU) и удалял себя из системы для заметания следов. Поражались различные системы на базе Windows и Linux. Точных инструкций по определению факта компрометации пользовательского окружения не приводится, кроме субъективной оценки возрастания нагрузки на CPU.
По предварительным данным жертвами вредоносных дополнений стали  4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США,  Израиле, Греции, Великобритании  и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям  Kodi следует проявлять осторожность при установке дополнений и использовании сторонних сборок.
Примечательно, что это вторая крупная атаки через дополнения к
Kodi - первая атака была замечена (https://torrentfreak.com/popular-kodi-addon-exodus-turned-us.../) в начале 2017 года, распространялась через популярное дополнение Exodus  и специализировалась на построении ботнета для проведения DDoS-атак.

URL: https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launc.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49272

Исходное сообщение
"Атака на пользователей Kodi для скрытого майнинга криптовалюты" Отправлено opennews, 14-Сен-18 13:12
Компания ESET сообщила (https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launc.../) о выявлении вредоносного кода в репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, добавившие в Kodi репозитории Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющем майнинг криптовалюты. Первые вредоносные изменения были добавлены в репозитории ещё в декабре 2017 года и январе 2018 года. Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам. В настоящее время все проблемные репозитории уже закрыты, после инициированных антипиратской группой BREIN судебных разбирательств (https://torrentfreak.com/kodi-addon-repo-operator-shuts-down.../), касающихся нарушения авторских прав. Атака производилась через манипуляцию с популярным дополнением script.module.simplejson, которое используется во множестве других дополнений. При добавления проблемных репозиториев в Kodi, через некоторое время в данных репозиториях появлялся более новый фиктивный выпуск script.module.simplejson. Kodi воспринимал его как обновление и загружал его. В качестве зависимости вместе с новым фиктивным выпуском этого дополнения в систему пользователя автоматически загружалось ещё одно дополнение script.module.python.requests. Данное дополнение включало запутанный блок кода, который анализировал текущее программное окружение, загружал соответствующий ему исполняемый файл для майнинга (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU) и удалял себя из системы для заметания следов. Поражались различные системы на базе Windows и Linux. Точных инструкций по определению факта компрометации пользовательского окружения не приводится, кроме субъективной оценки возрастания нагрузки на CPU. По предварительным данным жертвами вредоносных дополнений стали 4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США, Израиле, Греции, Великобритании и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям Kodi следует проявлять осторожность при установке дополнений и использовании сторонних сборок. Примечательно, что это вторая крупная атаки через дополнения к Kodi - первая атака была замечена (https://torrentfreak.com/popular-kodi-addon-exodus-turned-us.../) в начале 2017 года, распространялась через популярное дополнение Exodus и специализировалась на построении ботнета для проведения DDoS-атак. URL: https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launc.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=49272

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания ESET сообщила (https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launch-cryptomining-campaign/) 
> о выявлении вредоносного кода в  репозиториях дополнений для свободного медиацентра 
> Kodi. Пользователи Linux и Windows, добавившие в   Kodi репозитории 
> Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющем майнинг криптовалюты.

> Первые вредоносные изменения были добавлены в репозитории  ещё в  декабре 
> 2017 года и январе 2018 года.  Репозитории Bubbles, Gaia и 
> XvBMC  в основном использовались для распространения спорных дополнений, предоставляющих 
> доступ к защищённому контенту и платным кабельным/IPTV каналам. В настоящее время 
> все проблемные репозитории уже закрыты, после инициированных антипиратской группой BREIN 
>  судебных разбирательств (https://torrentfreak.com/kodi-addon-repo-operator-shuts-down-following-threats-from-brein-180811/), 
> касающихся нарушения авторских прав.

> Атака производилась через манипуляцию с популярным дополнением script.module.simplejson, 
> которое используется во множестве других дополнений. При добавления проблемных репозиториев 
> в Kodi, через некоторое время в данных репозиториях появлялся более новый 
> фиктивный выпуск script.module.simplejson. Kodi воспринимал его как обновление и загружал 
> его. В качестве зависимости вместе с новым фиктивным выпуском этого дополнения 
> в систему пользователя автоматически загружалось ещё одно дополнение script.module.python.requests.

> Данное дополнение включало запутанный блок кода, который  анализировал текущее программное 
> окружение, загружал соответствующий ему исполняемый файл для майнинга (Win64/CoinMiner.II, 
> Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и 
> Linux/CoinMiner.CU) и удалял себя из системы для заметания следов. Поражались различные 
> системы на базе Windows и Linux. Точных инструкций по определению факта 
> компрометации пользовательского окружения не приводится, кроме субъективной оценки возрастания 
> нагрузки на CPU.

> По предварительным данным жертвами вредоносных дополнений стали  4774 пользователя, а общая 
> сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 
> долларов). Большая часть жертв находится в США,  Израиле, Греции, Великобритании 
>  и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, 
> Gaia и XvBMC, поэтому пользователям  Kodi следует проявлять осторожность при 
> установке дополнений и использовании сторонних сборок.

> Примечательно, что это вторая крупная атаки через дополнения к 
> Kodi - первая атака была замечена (https://torrentfreak.com/popular-kodi-addon-exodus-turned-users-into-a-ddos-botnet-170203/) 
> в начале 2017 года, распространялась через популярное дополнение Exodus  и 
> специализировалась на построении ботнета для проведения DDoS-атак.

> URL: https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launch-cryptomining-campaign/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49272

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру