The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атака на пользователей Kodi для скрытого майнинга криптовалюты"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака на пользователей Kodi для скрытого майнинга криптовалюты"  +/
Сообщение от opennews (??), 14-Сен-18, 13:12 
Компания ESET сообщила (https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launc.../) о выявлении вредоносного кода в  репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, добавившие в   Kodi репозитории Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющем майнинг криптовалюты.

Первые вредоносные изменения были добавлены в репозитории  ещё в  декабре 2017 года и январе 2018 года.  Репозитории Bubbles, Gaia и XvBMC  в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам. В настоящее время все проблемные репозитории уже закрыты, после инициированных антипиратской группой BREIN  судебных разбирательств (https://torrentfreak.com/kodi-addon-repo-operator-shuts-down.../), касающихся нарушения авторских прав.

Атака производилась через манипуляцию с популярным дополнением script.module.simplejson, которое используется во множестве других дополнений. При добавления проблемных репозиториев в Kodi, через некоторое время в данных репозиториях появлялся более новый фиктивный выпуск script.module.simplejson. Kodi воспринимал его как обновление и загружал его. В качестве зависимости вместе с новым фиктивным выпуском этого дополнения в систему пользователя автоматически загружалось ещё одно дополнение script.module.python.requests.


Данное дополнение включало запутанный блок кода, который  анализировал текущее программное окружение, загружал соответствующий ему исполняемый файл для майнинга (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU) и удалял себя из системы для заметания следов. Поражались различные системы на базе Windows и Linux. Точных инструкций по определению факта компрометации пользовательского окружения не приводится, кроме субъективной оценки возрастания нагрузки на CPU.

По предварительным данным жертвами вредоносных дополнений стали  4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США,  Израиле, Греции, Великобритании  и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям  Kodi следует проявлять осторожность при установке дополнений и использовании сторонних сборок.

Примечательно, что это вторая крупная атаки через дополнения к
Kodi - первая атака была замечена (https://torrentfreak.com/popular-kodi-addon-exodus-turned-us.../) в начале 2017 года, распространялась через популярное дополнение Exodus  и специализировалась на построении ботнета для проведения DDoS-атак.


URL: https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launc.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49272

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  –4 +/
Сообщение от 123 (??), 14-Сен-18, 13:12 
> Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам.

Что и стоило ожидать. Нелицензиат с высокой долей вероятности приводит к вирусне.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +10 +/
Сообщение от Andrey Mitrofanov (?), 14-Сен-18, 13:37 
>> Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам.
> Что и стоило ожидать. Нелицензиат с высокой долей вероятности приводит к вирусне.

Кибердружинник?  Сам-то чьих будешь, под прокурорскими или следаками ходишь?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +1 +/
Сообщение от 123 (??), 14-Сен-18, 14:19 
  Неа. Все куда проще. Линуксоид, пользуюсь преимущественно СПО. Оно полностью покрывает 98% потребностей рабочих и домашних нужд взаимодействия с ПК.

  Медиа и игры с "белых" сервисов  цифорвой дистрибуции. Это не настолько большие финансовые траты в обмен на вменяемое качество и достаточную безопасность от подобных проблем.

  А те кто спит и видит где бы урвать "забесплатно без смс и регистрации", любители торрентов, кряков, онлайн-фильмов с одноголосым переводом и рекламой казинов - целевая аудитория под описанный в статье сценарий заражения. Сегодня майнеры, завтра трояны и шифровальщики.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

24. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от iPony (?), 14-Сен-18, 14:57 
> Линуксоид, пользуюсь преимущественно СПО.

Я бы усомнился. Запустить что-то крякнутое под вайном - по моему совершено обычная вещь для многих. При чём с чувством защищенности.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

25. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +2 +/
Сообщение от 123 (??), 14-Сен-18, 15:14 
Согласен, встречается. Но выбор все же за нами мараться ли в этом болоте. Вот виндовый софт мне совсем не требуется, а игры есть в Steam/GOG. В вайне или нативно, но из официальных источников.

Против проприетарии ничего принципиально не имею, считаю что многие вещи стоят своих денеги это нормально.
А те что от рождения гумно, или продается по непомерно большим деньгам - должно быть похоронено самим рынком, а не популяризоваться пиратами, до кучи впиливающими туда трояны

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

37. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от soarin (ok), 14-Сен-18, 18:04 
> Согласен, встречается. Но выбор все же за нами мараться ли в этом болоте

Ну это не относится к "Линуксоид, пользуюсь преимущественно СПО"

рекомендую к ознакомлению https://www.linux.org.ru/polls/polls/11681516

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

38. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  –1 +/
Сообщение от Аноним (38), 14-Сен-18, 18:06 
>Против проприетарии ничего принципиально не имею, считаю что многие вещи стоят своих денеги это нормально.

Еретик прямо. Ведь скопировать же не украсть?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

49. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от 11111 (?), 15-Сен-18, 16:49 
>   Неа. Все куда проще. Линуксоид, пользуюсь преимущественно СПО. Оно полностью
> покрывает 98% потребностей рабочих и домашних нужд взаимодействия с ПК.
>   Медиа и игры с "белых" сервисов  цифорвой дистрибуции. Это
> не настолько большие финансовые траты в обмен на вменяемое качество и
> достаточную безопасность от подобных проблем.

И дата-майнинг со стороны посредников, ага.
В общем, классические два стула.


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

2. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Zenitur (ok), 14-Сен-18, 13:17 
> XvBMC

Что за зверь?

> Kodi

Правильный вектор атаки! Там же аппаратные декодеры h264 и h265. Значит есть видеокарта с поддержкой OpenCL. Это лучше, чем атаковать Raspberry Pi

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +2 +/
Сообщение от rshadow (ok), 14-Сен-18, 14:04 
Наоборот, он стоит на обычных компах, Raspberry Pi и телевизорах. Вообщем обычные бытовые проигрыватели. Там начинка минимальная.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +2 +/
Сообщение от Попугай Кеша (?), 14-Сен-18, 14:29 
Удивительно сколько телевизоры нагрели на 6800.

Вообще какой-то паразитизм. Электроэнергию жгут одни, а деньги зарабатывают другие, ценность вообще создают всему этому какие-то дyраки левые.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от rshadow (ok), 14-Сен-18, 14:31 
> Удивительно сколько телевизоры нагрели на 6800.

Да, на 4774 пользователей получется 1,5 бакса всего лишь.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

3. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Аноним (3), 14-Сен-18, 13:17 
А идея интересная. Как отреагируют apt и yum, если через какой-нибудь левый PPA или EPEL допустим прислать обновление glibc, заверенное подписью подключенного левого репозитория?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +9 +/
Сообщение от Отражение луны (ok), 14-Сен-18, 13:26 
Никак, умные люди не добавляют сторонние apt и yum репозитории.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  –5 +/
Сообщение от rhel (?), 14-Сен-18, 13:32 
ну и сиди без nginx, умничка
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +2 +/
Сообщение от Аноним (-), 14-Сен-18, 13:44 
ты такой смешной.

У тебя свежий nginx? А можно я туда мой майнер еще поставить, раз ты не против?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

42. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Michael Shigorinemail (ok), 14-Сен-18, 21:47 
> ну и сиди без nginx, умничка

Так умничка же, а не клиент шараги, радостно кидающей клиентов под предлогом ссанкций.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Аноним (10), 14-Сен-18, 14:09 
Да ладно. А как жить тогда?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

43. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Michael Shigorinemail (ok), 14-Сен-18, 21:48 
> Да ладно. А как жить тогда?

На нормальном дистрибутиве/репозитории, например.  На localhost вон хватает

rpm file:/var/ftp/pub/Linux/ALT/Sisyphus x86_64 classic
rpm file:/var/ftp/pub/Linux/ALT/Sisyphus noarch classic
rpm file:/var/ftp/pub/Linux/ALT/Sisyphus x86_64-i586 classic
rpm-dir file:/tmp/.private/mike/hasher/repo x86_64 hasher

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

47. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Аноним (47), 15-Сен-18, 08:34 
Спасибо конечно, но я лучше останусь на "протухшем" дебиане. Последний раз пользовался альтом году эдак в 2002 :)
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

48. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Аноним (48), 15-Сен-18, 09:43 
Михаил исправьте пожалуйста в alt-p8-xfce (и будущие сборки) отображение разделов в файловом менеджере.

(Пишут в обсуждениях, что нужно установить тулкит или утилиту, но она установлена, а под root не получается войти.)

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

40. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Аноним (40), 14-Сен-18, 18:48 
В новости указано что устанавливать что-то из репы не нужно было. Уязвимость в первую очередь в самом Kodi, который при добавлении репы устанавливает какую-то левую херню.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  –5 +/
Сообщение от Аноним (8), 14-Сен-18, 14:00 
> о выявлении вредоносного кода в репозиториях дополнений

Ну и причём тут "атака на пользователей бла-бла-бла"? Гораздо логичнее было бы рассмотреть как заразили сами репы. Короче - очередной жёлтый заголовок. Пора вводить ответственность на распространителей информации за её неверную подачу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +3 +/
Сообщение от Аноним (-), 14-Сен-18, 14:39 
За бесплатно переводы новостей читаешь, еще и гавкаешь?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

30. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Аноним (8), 14-Сен-18, 16:31 
> За бесплатно переводы новостей читаешь, еще и гавкаешь?

Причём здесь переводы и те, кто просто переводит? Какой, вообще, спрос с транслятора? Я говорю про источники информации.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

33. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +2 +/
Сообщение от Аноним (3), 14-Сен-18, 17:13 
Суть новости не во взломе репозитория, а в том, что просто подключив репозиторий и ничего из него не ставя можно заполучить зловреда.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

45. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Аноним (8), 15-Сен-18, 00:58 
> просто подключив репозиторий и ничего из него не ставя можно заполучить зловреда

Это как, если в розетку подадут 380 вместо 220. Основная проблема - взлом самой репы, а не Коди.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

11. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  –1 +/
Сообщение от Анонимс (?), 14-Сен-18, 14:17 
Все равно большую часть времени тв-приставки простаивают впустую. А так хоть для бедных разработчиков дополнений намайнят немножко деньжат на хлеб с маслом и девочек. А вообще предлагаю все это дело легализовать и заключать публичный договор, что мол так и так в софт встроен майнер, который будет у вас отжирать 10% CPU и 10% GPU. Пользователи получают свободный софт, опенсоурс разработчики накормлены и заняты работой! И все будут довольны!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +3 +/
Сообщение от Andrey Mitrofanov (?), 14-Сен-18, 14:23 
> Все равно большую часть времени тв-приставки простаивают впустую. А так хоть для
> бедных разработчиков дополнений намайнят немножко деньжат на хлеб с маслом и
> девочек. А вообще предлагаю все это дело легализовать и заключать публичный
> договор, что мол так и так в софт встроен майнер, который
> будет у вас отжирать 10% CPU и 10% GPU. Пользователи получают
> свободный софт, опенсоурс разработчики накормлены и заняты работой! И все будут
> довольны!

Михалкову не забудь отстегнуть и в отделении по месту прописки зарегистрироваться.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Аноним (-), 14-Сен-18, 14:38 
А присесть не желаете? Хакерство - уголовно наказуемое деяние. :)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +1 +/
Сообщение от Andrey Mitrofanov (?), 14-Сен-18, 14:43 
> А присесть не желаете? Хакерство - уголовно наказуемое деяние. :)
>Хакерство

Номер статьи скажи? В которой используется именно _это_ _слово_.

Заодно поищи статью за притворивши лояром, наверное, где-то рядом.........

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  –3 +/
Сообщение от Аноним (27), 14-Сен-18, 16:00 
в EULA можно писать всё что угодно, пользователь согласился? значит ссзб
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +1 +/
Сообщение от Аноним84701 (ok), 14-Сен-18, 16:15 
> в EULA можно писать всё что угодно,

Можно. Желательно сразу на туалетной бумаге.
> пользователь согласился? значит ссзб

Хватит повторять эти байки. При расхождении с законодательством пункты ЕУЛА (пока еще) считаются недействительными.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

18. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +7 +/
Сообщение от Аноним (18), 14-Сен-18, 14:36 
Много намайнят с отключеной сетью? Майнеры мамкины...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +1 +/
Сообщение от анон (?), 14-Сен-18, 14:48 
ага, я тоже попкорном только оффлайн пользуюсь
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

31. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +2 +/
Сообщение от Анонимс (?), 14-Сен-18, 16:57 
> Много намайнят с отключеной сетью?...

Майнер распространялся через репозитории для доступа к защищенному контенту и платному IPTV.
И много вы насмотрите IPTV с отключённой сетью?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

46. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +2 +/
Сообщение от Аноним (46), 15-Сен-18, 03:27 
Распространился - и че дальше? Много намайнит в оффлайне?)
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

26. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +1 +/
Сообщение от Аноним (26), 14-Сен-18, 15:56 
Ребят, простите что не по теме, но никто не в курсе как запустить Dolphin 18.08 в KDE из под root? Вроде бы писали что вернули эту возможность , но sudo dolphin не работает( Заранее благодарю!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от Аноним (34), 14-Сен-18, 17:47 
В kde-шном меню есть "диспетчер файлов (в режиме администратора)"
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  –1 +/
Сообщение от Аноним (35), 14-Сен-18, 17:57 
Если ты в генту, то можно просто отредактировать майн
1)
ebuild /usr/portage/kde-apps/dolphin/dolphin-18.04.3-r1.ebuild unpack prepare
2) лезешь в папку где у тебя portage_temp/work/src/main.cpp
3) и ищи там начало мейна (там блок кода который и вырубает дельфин удали его)
4)
ebuild /usr/portage/kde-apps/dolphin/dolphin-18.04.3-r1.ebuild compile install qmerge


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

39. "Атака на пользователей Kodi для скрытого майнинга криптовалю..."  +/
Сообщение от тттт (?), 14-Сен-18, 18:25 
попробуй su -
         dolphin

krusader уже идет в комплекте, работает под рутом и гораздо удобнее для системного доступа.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

36. "Компрометация репозиториев дополнений к Kodi привела к распр..."  –1 +/
Сообщение от Аноним (35), 14-Сен-18, 17:58 
Еще можно патч сделать и бросить в /etc/portage/patch
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру