توزیع نرم‌‌‌افزارهای مخرب با استفاده از مدیاپلیر Kodi

پخش کننده چند رسانه ای Kodi که برای توزیع نرم‌‌‌‌‌‌‌‌‌‌افزارهای مخرب استفاده می‌شد، اخیرا توسط انجمن‌های کاوش ارز دیجیتال مورد استفاده قرار گرفت و بیش از 5000 دستگاه را قبل از شناسایی، آلوده ساخت. محققان گزارش دادند که دستگاه های آلوده همچنان در معرض خطر هستند.

Kodi نرم افزاری منبع باز و رایگان است که توانایی پخش محتوای چندرسانه‌ای مختلف نظیر ویدئو، آهنگ، پادکست و سایر فایل‌های دیجیتالی موجود در فضای ذخیره‌سازی محلی، تحت شبکه و منابع اینترنتی را دارد. کاربران می‌توانند با نصب افزونه‌های مختلف که در منبع افزونه‌های Kodi یا در سایر منابع موجود است توانایی‌های این نرم افزار را گسترش دهند. با هدف قرار دادن افزونه‌های مختلف و یا سو استفاده از قابلیت بروز رسانی خودکار Kodi، امکان انتشار کدهای مخرب از طریق این نرم افزار وجود دارد.

محققان ESET گزارش دادند که از سه راهکار برای انتشار بدافزارها از طریق Kodi استفاده می‌شود. راهکار اول افزودن URL منبع مخرب به فرآیند نصب و راه اندازی Kodi است که موجب می‌شود افزونه مخرب به محض بروز رسانی Kodi روی ماشین قربانی نصب شود. روش دوم، آماده سازی یک نسخه از Kodi است که URL منبع مخرب نیز درون آن گنجانده شده است. سومین راهکار استفاده از یک نسخه آماده از Kodi شامل افزونه مخرب است. در آخرین روش نیازی به قرار دادن لینک مخرب برای بروزرسانی وجود ندارد، همچنین قربانیان از همان ابتدا در معرض خطر قرار می گیرند و بدافزار نیز مقاوم‌تر خواهد بود.

محققان IBM در پستی که هفته گذشته منتشر کردند بیان کردند که: مجرمان سایبری به صورت گسترده از قابلیت نصب افزونه و اسکریپت نویسی برای مقابله با تمهیدات امنیتی موجود در سیستم عامل استفاده می کنند.

اخیرا صنایع مختلفی شاهد انتشار بدافزارها از طریق ماکروهای نوشته شده توسط زبان VBA بودند.  در سال 2016، سرویس های امنیتی IBM، انجمن حمله سایبریی را شناسایی کردند که مجرمان سایبری عضو آن از ماکروهای VBA برای انتقال باج افزار Locky استفاده می کردند. سال گذشته، محققان Fortinet دو حمله را کشف کردند که در آن‌ها از ماکروهای VBA در فایل‌های Excel برای انتشار بدافزار Dyzap و نمونه ای از باج افزار Strictor استفاده شده بود.

در راهکار اخیر، بدافزار مورد نظر روی ویندوز و لینوکس اجرا می شود و از یک ساختار چند مرحله‌ای به منظور جلوگیری از لو رفتن، در صورت رهگیری افزونه مخرب استفاده می‌کند. این افزونه‌های مخرب در منبع افزونه XvMBC و Bubbles و Gaia موجود است.

بر اساس گزارشات ESET، پنج کشور اولی که تحت تاثیر این حمله قرار گرفته‌اند عبارتند از: ایالات متحده آمریکا، اسرائیل، یونان، انگلستان و هلند.

محققان هشدار دادند که هنوز نرم‌افزارهای مخرب در بسیاری از ماشین‌های قربانی مخفی هستند و این یک تهدید جدی است. بر اساس گزارش ESET، Monero-miner توانسته 6,700 دلار پول دیجیتال استخراج کند.

محققان Trend Micro در پستی که هفته گذشته منتشر کردند بیان کردند که: اگرچه بسیاری از افزونه های مخرب از روی منبع‌های مختلف حذف شده‌اند ولی کاربران Kodi که ناآگاهانه بدافزار را روی سیستم خود نصب کرده‌اند هنوز نیز در معرض خطر هستند.

Nadav Avital که یکی از محققین فعال در زمینه تهدیدات سایبری در Imperva است بیان کرد ادامه دادن کاربران به استفاده از Kodi کاملا طبیعی است. او گفت: مجرمان سایبری همواره به دنبال راهکارهای جدید و افزایش قربانیان خود هستند تا میزان پولی که به دست می آورند را افزایش دهند. در گذشته شاهد بودیم که بد افزارهای کاوش ارز دیجیتال توانسته‌اند مرورگرها، پایگاه داده‌ها، سیستم های مدیریتی، سیستم های پولی و بانکی و … را آلوده سازند. پس اینکه مجرمان سایبری پلتفورم دیگری را هدف قرار دهند چندان نیز باعث تعجب و شگفتی نیست.

منبع: https://threatpost.com/cybercriminals-target-kodi-media-player-for-malware-distribution/137670/