חוקרי הנוזקות של ESET גילו מספר תוספים לנגן הסטרימנג קודי המנצלים מערכות לינוקס ווינדוס לכרות מטבעות וירטואליים וכך לגרום למחשב שלכם להיות איטי בטירוף.
מחקר חדש חושף לראשונה נוזקה לכריית מטבעות וירטואליים המופצת באמצעות פלטפורמת התוכן קודי. באמצעות הורדת תוסף או עדכון התוכנה שותלים האקרים במחשבי הקורבנות כורים הגורמים להאטה ושחיקה של המחשב או הסטרימר.
למי שלא מכיר, קודי היא פלטפורמה המאפשרת למשתמשים לצפות בסרטים, תוכניות טלוויזיה, תוכניות רדיו, ופודקאסטים ממקורות מקוונים שונים. עיקר השימוש בקודי הוא סטרימינג - צפיה בסרטים/סדרות ממקורות מקוונים, כולל אך לא רק, מקורות מבוססי טורנט, צפייה בערוצי טלוויזיה חיה והאזנה לתחנות רדיו מכל העולם.
הצפייה נעשית על ידי שימוש בתוספים, שהם רכיבי תוכנה חיצוניים הניתנים להתקנה על גבי תוכנת קודי, בדומה ל"תוספים" בדפדפן כרום או יישומים לטלפון החכם, ומהווים חלופה, לרוב חינמית ולרוב לא חוקית, לחברות תקשורת המספקות שירותי טלוויזיה כגון HOT, YES וסלקום TV בישראל.
כעת מגלים חוקרי אבטחה לראשונה בתוספים Bubbles ו-Gaia של קודי נוזקה לכריית מטבעות וירטואליים המופעלת ומנצלת את הפלטפורמה של קודי.
איך זה עובד?
לתוקפים יש שלוש דרכים אפשריות להתקין כורה מטבעות וירטואליים על מחשב הקורבן. הראשונה היא הורדה של תוסף המפנה לאתר זדוני. השנייה הורדה של קודי עם התוסף כבר בתוך התוכנה, כאשר ברגע שמתבצע עדכון תוזן הכתובת של האתר הזדוני. והאחרונה בהורדה של קודי כשהתוסף הזדוני כבר מותקן ומעודכן אצלכם עם המטען הזדוני. לתוקפים מאוד קל להסוות את התוסף הזדוני מכיוון שהכתובת זהה לכתובת של התוסף הלגיטימי.
התוקפים מנצלים את התאימות של קודי למערכות הפעלה שונות כדי שהנוזקה שלהם תפעל על ווינדוס ולינוקס ובהמשך ייתכן ונראה זאת גם במק ובאנדרואיד.
מה עושה נוזקת כריית מטבעות וירטואליים?
במידה והותקן על מחשבכם הקוד הזדוני הוא מנצל את משאבי המחשב כדי לכרות מטבעות וירטואליים (Cryptominer), במקרה הנוכחי כורה מטבע בשם Monero. כריית מטבעות יכולה להתבטא בניצול של המעבד על חשבון משאבים להפעלת תוכנות אחרות, האטה של המערכת והעבודה על המחשב, שחיקה של המעבד וקיצור החיים שלו וצריכת חשמל מוגברת כתוצאה משימוש באחוז גבוה של המעבד באופן קבוע, דבר שיוביל לחשבון חשמל גבוה יותר.
על פי הסטטיקסטיקות של אחד מהארנקים הוירטואליים של התוקפים, הם הצליחו לייצר 6700 דולר מ-4774 קורבנות.
ישראל היא במקום השני בעולם בזיהוי האיום
חמש המדינות המובילות שנפגעו מאיום זה, על פי הנתונים של ESET, הן ארצות הברית, ישראל, יוון, בריטניה והולנד, דבר שאינו מפתיע שכן כל המדינות הללו נמצאות ברשימת "המדינות המובילות" המשתמשות בקודי.
ישראל מדורגת במקום השני מבחינת זיהוי האיום הזה עם 9% מכלל הזיהויים. מלבד היותה של ישראל אחת המדינות המובילות בשימוש ב-Kodi, לא זוהתה סיבה ספציפית לשכיחות התופעה בישראל.
זיהויים של הנוזקה ברחבי העולם
האם המחשב שלי נפגע? כיצד ניתן לנקות אותו?
אם אתם משתמשים ב- Kodi על מערכת הפעלה Windows או Linux והתקנתם את התוספים Bubbes או Gaia, תוספים אחרים ממאגרי צד שלישי או מהמאגר הרשמי של Kodi, יש סיכוי שהתקנתם כורה מטבעות וירטואליים על המחשב שלכם.
כדי לבדוק אם המחשב שלכם נפגע, סרקו אותו באמצעות פתרון אנטי וירוס אמין. במידה ולא מותקנת תוכנה המגינה מפני נוזקות על המכשיר; ב-Windows ניתן להשתמש בסורק החינמי של ESET, ועל לינוקס ניתן להתקין ניסיון ללא תשלום של ESET NOD32 Antivirus עבור שולחן העבודה של Linux, כדי לבדוק האם המחשב נגוע באיומים אלה ולהסיר כל דבר מזוהה. לקוחות ESET קיימים מוגנים באופן אוטומטי.
הקלות היחסית בה ניתן לנצל את פלטפורמת קודי ולהתאים אותה לנוזקות שונות מצביעה על כך שגם בעתיד נראה שימוש בפלטפורמה זו לכריית מטבעות וירטואליים או נוזקות אחרות.