El equipo de investigadores de ESET ha
encontrado varias extensiones de Kodi utilizadas para distribuir malware de
minado de criptomonedas.
Kodi (antiguo XBMC) es un popular
'Media Center' soportado de forma nativa en las principales plataformas: Linux,
Mac OS X y sistemas operativos de Microsoft Windows.
Kodi por si solo no provee ningún
contenido, está pensado para ser extendido mediante aplicaciones de terceros.
Esta característica ha sido explotada más de una vez por algunos atacantes para
incluir código malicioso en las instalaciones de sus usuarios.
En el caso que nos ocupa se trata de
una campaña de software de minado de criptomonedas distribuido desde dos
populares repositorios de plugins para Kodi: Bubbles y Gaia (y sus respectivos
forks).
El análisis de ESET reveló que el
malware funciona sobre Windows y Linux para minar la criptomoneda Monero (XMR).
La infección puede ocurrir de tres formas:
- Incluyendo un repositorio
malicioso e instalando alguna de las extensiones comprometidas.
- Instalando una versión de Kodi
que incluya el repositorio malicioso de serie.
- Instalando una versión de Kodi
con las extensiones comprometidas de serie.
Los países más afectados han sido Estados Unidos, Israel,
Grecia y Reino Unido.
Recomendación
- Para evitar y/o contrarrestar la
amenaza recomendamos bloquear aquellos repositorios de terceros no
confiables y escanear el dispositivo con algún software antivirus
actualizado.
Algunos IOCs
proporcionados por ESET:
- B8FD019D4DAB8B895009B957A7FEBAEFCEBAFDD1
- BA50EAA31441D5E2C0224B9A8048DAF4015735E7
- 717C02A1B040187FF54425A64CB9CC001265C0C6
- F187E0B6872B096D67C2E261BE41910DAF057761
- 4E2F1E9E066D7D21CED9D690EF6119E59CF49176
- 53E7154C2B68EDBCCF37FB73EEB3E042A1DC7108
- FF9E491E8E7831967361EDE1BD26FCF1CD640050
- 3CC8B10BDD5B98BEA94E97C44FFDFB1746F0C472
- 389CB81D91D640BA4543E178B13AFE53B0E680B5
- 6DA595FB63F632EE55F36DE4C6E1EB4A2A833862
- 9458F3D601D30858BBA1AFE1C281A1A99BF30542
- B4894B6E1949088350872BDC9219649D50EE0ACA
- 79BCC4F2D19A394DD2DB2B601208E1D1EA57565B
- AAAEDE03F6C014CEE8EC0D9C0EA4FC7B0E67DB59
- C66B5ADF3BDFA87B0731512DD2654F4341EBAE5B
- F0196D821381248EB8717F47C70D8C235E83A12E
- 7CFD561C215DC04B702FE40A199F0B60CA706660
- 08406EB5A8E75F53CFB53DB6BDA7738C296556D6
- 2000E2949368621E218529E242A8F00DC8EC91ED
- 5B1F384227F462240178263E8F2F30D3436F10F5
- B001DD66780935FCA865A45AEC97C85F2D22A7E2
- C6A4F67D279478C18BE67BEB6856F3D334F4AC42
- EE83D96C7F1E3510A0D7D17BBF32D5D82AB54EF3
- 38E6B46F34D82BD23DEACD23F3ADD3BE52F1C0B6
- 90F39643381E2D8DFFF6BA5AB2358C4FB85F03FC
- B9173A2FE1E8398CD978832339BE86445ED342C7
- D5E00FB7AEA4E572D6C7C5F8D8570DAB5E1DD156
- D717FEC7E7C697D2D25080385CBD5C122584CA7C
- DF5433DC7EB272B7B837E8932E4540B216A056D8
·
Kodi
add-ons launch cryptomining campaign https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launch-cryptomining-campaign/
Fuente: Hispasec