内容简介:近期,研究人员在某些非官方的Kodi开源多媒体代码库中发现了自定义修改后的恶意插件,而这些恶意插件将会在Windows和Linux平台中下载恶意挖矿软件。研究人员表示,他们发现了一个通过合法插件来感染运行了Kodi设备的恶意活动。在这个恶意活动中,网络犯罪分子主要针对的是Kodi用户,并通过感染恶意挖矿软件来挖门罗币。
近期,研究人员在某些非官方的Kodi开源多媒体代码库中发现了自定义修改后的恶意插件,而这些恶意插件将会在Windows和 Linux 平台中下载恶意挖矿软件。
研究人员表示,他们发现了一个通过合法插件来感染运行了Kodi设备的恶意活动。在这个恶意活动中,网络犯罪分子主要针对的是Kodi用户,并通过感染恶意挖矿软件来挖门罗币。
该活动似乎是从2017年12月份开始的,当时主要通过托管在Bubbles代码库(现已失效)中的’script.module.simplejson’插件来实现感染。由于Bubbles库已经下线了,所以网络犯罪分子也把他们的恶意插件转移到了Gaia库来进行传播。
网络犯罪分子利用了Kodi验证系统的漏洞
ESET的安全研究人员在XvBMC库中发现了这个恶意活动,而这个托管库最近因为侵犯版权的原因而被迫关闭,不过其他的托管库中仍托管了修改后的恶意插件。
由于Kodi插件可以从多个代码托管库中获取,并且插件的更新验证也只需要版本号,因此很多受害者在更新Kodi插件时就会刷新并安装到恶意插件。
研究人员表示,正是因为很多代码托管库并没有对插件的更新机制进行有效的安全保护,这也是恶意插件能够在Kodi生态系统中蔓延的主要原因之一。
目前,受该活动影响最大的五个国家分别是美国、以色列、希腊、英国以及荷兰,而且这些国家同样也是全球使用Kodi插件最多的国家。
其中,’script.module.simplejson’为合法Kodi插件的名称,但是网络犯罪分子利用了Kodi更新机制中的漏洞,并利用更高版本编号来发布恶意Kodi插件。
当时,’script.module.simplejson’的版本号为3.4.0,而恶意代码库托管的恶意插件版本为3.4.1。由于恶意插件的版本号更高,Kodi用户将会自动更新并安装恶意插件。
感染分阶段进行
ESET的分析结果表明,网络犯罪分子修改了原始插件的元数据,并控制Kodi来下载一个名叫’script.module.python.requests’的插件(版本为2.16.0及以上)。
新下载的插件中包含的 Python 代码会运行加密货币挖矿软件,当恶意软件成功安装之后,负责下载恶意挖矿软件的Python代码将会被删除。
研究人员在报告中 提到 :“在对代码进行了分析之后,我们认为恶意代码的开发人员绝对是对Kodi及其插件结构非常了解的人。脚本代码会对目标操作系统进行检测,目前该恶意软件仅支持Windows和Linux,Android和macOS还不会受其影响。接下来,它会连接远程C&C服务器,并执行一个代码下载模块。”
因此,研究人员建议广大Kodi用户尽量从官方Kodi托管库中下载和更新插件。
*参考来源: bleepingcomputer ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《Kodi恶意插件可在Windows和Linux下安装挖矿木马》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
操作系统概念(第六版)
(美)西尔伯斯查兹 / 郑扣根 / 高等教育出版社 / 2005-11 / 55.00元
《操作系统概念》(第6版翻译版)是讨论了操作系统中的基本概念和算法,并对大量实例(如Linux系统)进行了研究。全书内容共分七部分。第一部分概要解释了操作系统是什么、做什么、是怎样设计与构造的,也解释了操作系统概念是如何发展起来的,操作系统的公共特性是什么。第二部分进程管理描述了作为现代操作系统核心的进程以及并发的概念。第三部分存储管理描述了存储管理的经典结构与算法以及不同的存储管理方案。第四部分......一起来看看 《操作系统概念(第六版)》 这本书的介绍吧!
