Πολλά πρόσθετα και στην Ελλάδα ανακάλυψαν οι ερευνητές της ESET για το δημοφιλές media player ανοιχτού κώδικα Kodi, τα οποία ευθύνονται για τη διανομή κακόβουλων προγραμμάτων εξόρυξης κρυπτονομισμάτων σε Linux και Windows.
Οι άλλες τέσσερις χώρες που έχουν πληγεί περισσότερο παγκοσμίως, σύμφωνα με την τηλεμετρία της ESET, είναι οι Ηνωμένες Πολιτείες, το Ισραήλ, το Ηνωμένο Βασίλειο και οι Κάτω Χώρες.
Γεωγραφική διανομή των ανιχνεύσεων του cryptominer από την ESET
Ο εντοπισμός των κρουσμάτων στις συγκεκριμένες χώρες δεν προκαλεί έκπληξη στους ερευνητές της ESET, καθώς πρόκειται για τις πέντε κορυφαίες χώρες στη λίστα με την υψηλότερη κυκλοφορία του Kodi, σύμφωνα με τα πρόσφατα Unofficial Kodi Addon Community Stats.
Άλλες πιθανές εξηγήσεις για τη γεωγραφική κατανομή των κρουσμάτων, είναι τα ειδικά builds του Kodi για κάθε χώρα που περιέχουν τα κακόβουλα repositories, καθώς και τα κακόβουλα αποθετήρια με βάσεις χρηστών στις εν λόγω χώρες, όπως συμβαίνει στην περίπτωση του ολλανδικού repository XvBMC.
Όσοι χρησιμοποιούν το Kodi, πιθανά παρατήρησαν ότι το XvBMC έκλεισε πρόσφατα, έπειτα από προειδοποιήσεις για παραβίαση πνευματικών δικαιωμάτων. Τότε ανακαλύφθηκε ότι αυτό το αποθετήριο ήταν - πιθανώς εν αγνοία των ίδιων - μέρος μιας κακόβουλης εκστρατείας cryptomining, η οποία χρονολογείται ήδη από τον Δεκέμβριο του 2017.
Σύμφωνα με τους ερευνητές της ESET, το κακόβουλο λογισμικό έχει αρχιτεκτονική πολλών επιπέδων και χρησιμοποιεί τεχνάσματα για να εξασφαλίσει ότι το τελικό ωφέλιμο φορτίο του - το cryptominer - δεν μπορεί εύκολα να εντοπιστεί από όποιο κακόβουλο add-on κι αν προέρχεται.
Το cryptominer τρέχει σε Windows και Linux και εξορύσσει το κρυπτονόμισμα Monero (XMR). Οι ερευνητές της ESET δεν έχουν εντοπίσει «αδέσποτη» (in-the-wild) έκδοση, η οποία να επιτίθεται σε συσκευές Android ή macOS.
Στην παρούσα φάση, τα repositories απ’ όπου ξεκίνησε αρχικά η διάδοση του κακόβουλου λογισμικού είτε δεν λειτουργούν (όπως το Bubbles) είτε δεν εξυπηρετούν πλέον τον κακόβουλο κώδικα (περίπτωση Gaia).
Ωστόσο, τα θύματα που έχουν εγκατεστημένο στις συσκευές τους το cryptominer εξακολουθούν να επηρεάζονται. Εκτός αυτού, το κακόβουλο λογισμικό εξακολουθεί να υπάρχει σε άλλα αποθετήρια και μερικά έτοιμα προς χρήση builds του Kodi, πιθανότατα χωρίς τη γνώση των δημιουργών τους.
Εξ ου και η έκκληση: αν χρησιμοποιείτε το Kodi σε μια συσκευή Windows ή Linux και έχετε εγκαταστήσει πρόσθετα από repositories τρίτων ή έτοιμα προς χρήση builds του Kodi, υπάρχει πιθανότητα να έχετε επηρεαστεί από αυτή την εκστρατεία cryptomining.
Για να ελέγξετε αν έχει παραβιαστεί η συσκευή σας, σαρώστε το με μια αξιόπιστη λύση anti-malware. Οι λύσεις της ESET ανιχνεύουν και αφαιρούν αυτές τις απειλές ως Win64/CoinMiner.II και Win64/CoinMiner.MK σε Windows και ως Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK και Linux/CoinMiner.CU σε Linux.
Οι χρήστες Windows μπορούν να χρησιμοποιήσουν το ESET Free Online Scanner, ενώ οι χρήστες Linux τη λύση ESET NOD32 Antivirus για Linux Desktop, που διατίθεται σε δωρεάν δοκιμαστική έκδοση, προκειμένου να ελέγξουν αν ο υπολογιστής τους έχει μολυνθεί από αυτές τις απειλές και να αφαιρέσουν οτιδήποτε εντοπιστεί.
Οι χρήστες των λύσεων ESET προστατεύονται αυτόματα.
Εκτενέστερη περιγραφή της εκστρατείας cryptomining από τα πρόσθετα του media player Kodi βρίσκονται στη σχετική τεχνική ανάλυση του ερευνητή της ESET Kaspars Osis, στο blog https://www.welivesecurity.com.