20 de septiembre de 2018

Varias extensiones de Kodi comprometidas para minar criptomonedas

El equipo de investigadores de ESET ha encontrado varias extensiones de Kodi utilizadas para distribuir malware de minado de criptomonedas.
Kodi (antiguo XBMC) es un popular 'Media Center' soportado de forma nativa en las principales plataformas: Linux, Mac OS X y sistemas operativos de Microsoft Windows.
Kodi por si solo no provee ningún contenido, está pensado para ser extendido mediante aplicaciones de terceros. Esta característica ha sido explotada más de una vez por algunos atacantes para incluir código malicioso en las instalaciones de sus usuarios.
En el caso que nos ocupa se trata de una campaña de software de minado de criptomonedas distribuido desde dos populares repositorios de plugins para Kodi: Bubbles y Gaia (y sus respectivos forks).
El análisis de ESET reveló que el malware funciona sobre Windows y Linux para minar la criptomoneda Monero (XMR).
La infección puede ocurrir de tres formas:
  1. Incluyendo un repositorio malicioso e instalando alguna de las extensiones comprometidas.
  2. Instalando una versión de Kodi que incluya el repositorio malicioso de serie.
  3. Instalando una versión de Kodi con las extensiones comprometidas de serie.
Los países más afectados han sido Estados Unidos, Israel, Grecia y Reino Unido.
Recomendación
  • Para evitar y/o contrarrestar la amenaza recomendamos bloquear aquellos repositorios de terceros no confiables y escanear el dispositivo con algún software antivirus actualizado.
Algunos IOCs proporcionados por ESET:
  • B8FD019D4DAB8B895009B957A7FEBAEFCEBAFDD1
  • BA50EAA31441D5E2C0224B9A8048DAF4015735E7
  • 717C02A1B040187FF54425A64CB9CC001265C0C6
  • F187E0B6872B096D67C2E261BE41910DAF057761
  • 4E2F1E9E066D7D21CED9D690EF6119E59CF49176
  • 53E7154C2B68EDBCCF37FB73EEB3E042A1DC7108
  • FF9E491E8E7831967361EDE1BD26FCF1CD640050
  • 3CC8B10BDD5B98BEA94E97C44FFDFB1746F0C472
  • 389CB81D91D640BA4543E178B13AFE53B0E680B5
  • 6DA595FB63F632EE55F36DE4C6E1EB4A2A833862
  • 9458F3D601D30858BBA1AFE1C281A1A99BF30542
  • B4894B6E1949088350872BDC9219649D50EE0ACA
  • 79BCC4F2D19A394DD2DB2B601208E1D1EA57565B
  • AAAEDE03F6C014CEE8EC0D9C0EA4FC7B0E67DB59
  • C66B5ADF3BDFA87B0731512DD2654F4341EBAE5B
  • F0196D821381248EB8717F47C70D8C235E83A12E
  • 7CFD561C215DC04B702FE40A199F0B60CA706660
  • 08406EB5A8E75F53CFB53DB6BDA7738C296556D6
  • 2000E2949368621E218529E242A8F00DC8EC91ED
  • 5B1F384227F462240178263E8F2F30D3436F10F5
  • B001DD66780935FCA865A45AEC97C85F2D22A7E2
  • C6A4F67D279478C18BE67BEB6856F3D334F4AC42
  • EE83D96C7F1E3510A0D7D17BBF32D5D82AB54EF3
  • 38E6B46F34D82BD23DEACD23F3ADD3BE52F1C0B6
  • 90F39643381E2D8DFFF6BA5AB2358C4FB85F03FC
  • B9173A2FE1E8398CD978832339BE86445ED342C7
  • D5E00FB7AEA4E572D6C7C5F8D8570DAB5E1DD156
  • D717FEC7E7C697D2D25080385CBD5C122584CA7C
  • DF5433DC7EB272B7B837E8932E4540B216A056D8
Más información:
·        Kodi add-ons launch cryptomining campaign https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launch-cryptomining-campaign/
Fuente: Hispasec

Publicado por en
Etiquetas: