16 de septiembre de 2018

Varias extensiones de Kodi comprometidas para minar criptomonedas

El equipo de investigadores de ESET ha encontrado varias extensiones de Kodi utilizadas para distribuir malware de minado de criptomonedas.



Kodi (antiguo XBMC) es un popular 'Media Center' soportado de forma nativa en las principales plataformas: Linux, Mac OS X y sistemas operativos de Microsoft Windows. 

Kodi por si solo no provee ningún contenido, está pensado para ser extendido mediante aplicaciones de terceros. Esta característica ha sido explotada más de una vez por algunos atacantes para incluir código malicioso en las instalaciones de sus usuarios

En el caso que nos ocupa se trata de una campaña de software de minado de criptomonedas distribuido desde dos populares repositorios de plugins para Kodi: Bubbles y Gaia (y sus respectivos forks).

El análisis de ESET reveló que el malware funciona sobre Windows y Linux para minar la criptomoneda Monero (XMR).

La infección puede ocurrir de tres formas:

  1. Incluyendo un repositorio malicioso e instalando alguna de las extensiones comprometidas.
  2. Instalando una versión de Kodi que incluya el repositorio malicioso de serie.
  3. Instalando una versión de Kodi con las extensiones comprometidas de serie.

Etapas de ejecución del malware. Fuente: http://bit.ly/2CZ6lbW

Los países más afectados han sido Estados Unidos, Israel, Grecia y Reino Unido. 

Para evitar y/o contrarrestar la amenaza recomendamos bloquear aquellos repositorios de terceros no confiables y escanear el dispositivo con algún software antivirus actualizado.

Algunos IOCs proporcionados por ESET:

B8FD019D4DAB8B895009B957A7FEBAEFCEBAFDD1
BA50EAA31441D5E2C0224B9A8048DAF4015735E7
717C02A1B040187FF54425A64CB9CC001265C0C6
F187E0B6872B096D67C2E261BE41910DAF057761
4E2F1E9E066D7D21CED9D690EF6119E59CF49176
53E7154C2B68EDBCCF37FB73EEB3E042A1DC7108
FF9E491E8E7831967361EDE1BD26FCF1CD640050
3CC8B10BDD5B98BEA94E97C44FFDFB1746F0C472
389CB81D91D640BA4543E178B13AFE53B0E680B5
6DA595FB63F632EE55F36DE4C6E1EB4A2A833862
9458F3D601D30858BBA1AFE1C281A1A99BF30542
B4894B6E1949088350872BDC9219649D50EE0ACA
79BCC4F2D19A394DD2DB2B601208E1D1EA57565B
AAAEDE03F6C014CEE8EC0D9C0EA4FC7B0E67DB59
C66B5ADF3BDFA87B0731512DD2654F4341EBAE5B
F0196D821381248EB8717F47C70D8C235E83A12E
7CFD561C215DC04B702FE40A199F0B60CA706660
08406EB5A8E75F53CFB53DB6BDA7738C296556D6
2000E2949368621E218529E242A8F00DC8EC91ED
5B1F384227F462240178263E8F2F30D3436F10F5
B001DD66780935FCA865A45AEC97C85F2D22A7E2
C6A4F67D279478C18BE67BEB6856F3D334F4AC42
EE83D96C7F1E3510A0D7D17BBF32D5D82AB54EF3
38E6B46F34D82BD23DEACD23F3ADD3BE52F1C0B6
90F39643381E2D8DFFF6BA5AB2358C4FB85F03FC
B9173A2FE1E8398CD978832339BE86445ED342C7
D5E00FB7AEA4E572D6C7C5F8D8570DAB5E1DD156
D717FEC7E7C697D2D25080385CBD5C122584CA7C
DF5433DC7EB272B7B837E8932E4540B216A056D8


Francisco Salido
fsalido@hispasec.com

Más información:










☛ El artículo completo original de noreply@blogger.com (Francisco Salido) lo puedes ver aquí

No hay comentarios.:

Publicar un comentario