משתמשים בקודי? ייתכן שהמחשב שלכם כורה מטבעות וירטואליים
עמי רוחקס דומבה
| 16/09/2018
חוקרי הנוזקות של ESET גילו מספר תוספים לנגן הסטרימנג קודי המנצלים מערכות לינוקס ווינדוס לכרות מטבעות וירטואליים וכך לגרום למחשב שלכם להיות איטי. מחקר חדש של חברת אבטחת המידע ESET חושף לראשונה נוזקה לכריית מטבעות וירטואליים המופצת באמצעות פלטפורמת התוכן קודי. באמצעות הורדת תוסף או עדכון התוכנה שותלים האקרים במחשבי הקורבנות כורים הגורמים להאטה ושחיקה של המחשב או הסטרימר.
למי שלא מכיר, קודי היא פלטפורמה המאפשרת למשתמשים לצפות בסרטים, תוכניות טלוויזיה, תוכניות רדיו, ופודקאסטים ממקורות מקוונים שונים. עיקר השימוש בקודי הוא סטרימינג - צפיה בסרטים/סדרות ממקורות מקוונים, כולל אך לא רק, מקורות מבוססי טורנט, צפייה בערוצי טלוויזיה חיה והאזנה לתחנות רדיו מכל העולם.
הצפייה נעשית על ידי שימוש בתוספים, שהם רכיבי תוכנה חיצוניים הניתנים להתקנה על גבי תוכנת קודי, בדומה ל"תוספים" בדפדפן כרום או יישומים לטלפון החכם, ומהווים חלופה, לרוב חינמית ולרוב לא חוקית, לחברות תקשורת המספקות שירותי טלוויזיה כגון HOT, YES וסלקום TV בישראל. כעת מגלים חוקרי ESET לראשונה בתוספים Bubbles ו-Gaia של קודי נוזקה לכריית מטבעות וירטואליים המופעלת ומנצלת את הפלטפורמה של קודי.
איך זה עובד?
לתוקפים יש שלוש דרכים אפשריות להתקין כורה מטבעות וירטואליים על מחשב הקורבן. הראשונה היא הורדה של תוסף המפנה לאתר זדוני. השנייה הורדה של קודי עם התוסף כבר בתוך התוכנה, כאשר ברגע שמתבצע עדכון תוזן הכתובת של האתר הזדוני. והאחרונה בהורדה של קודי כשהתוסף הזדוני כבר מותקן ומעודכן אצלכם עם המטען הזדוני. לתוקפים מאוד קל להסוות את התוסף הזדוני מכיוון שהכתובת זהה לכתובת של התוסף הלגיטימי.
התוקפים מנצלים את התאימות של קודי למערכות הפעלה שונות כדי שהנוזקה שלהם תפעל על ווינדוס ולינוקס ובהמשך ייתכן ונראה זאת גם במק ובאנדרואיד.
מה עושה נוזקת כריית מטבעות וירטואליים?
במידה והותקן על מחשבכם הקוד הזדוני הוא מנצל את משאבי המחשב כדי לכרות מטבעות וירטואליים (Cryptominer), במקרה הנוכחי כורה מטבע בשם Monero. כריית מטבעות יכולה להתבטא בניצול של המעבד על חשבון משאבים להפעלת תוכנות אחרות, האטה של המערכת והעבודה על המחשב, שחיקה של המעבד וקיצור החיים שלו וצריכת חשמל מוגברת כתוצאה משימוש באחוז גבוה של המעבד באופן קבוע, דבר שיוביל לחשבון חשמל גבוה יותר. על פי הסטטיקסטיקות של אחד מהארנקים הוירטואליים של התוקפים, הם הצליחו לייצר 6700 דולר מ-4774 קורבנות.
חמש המדינות המובילות שנפגעו מאיום זה, על פי הנתונים של ESET, הן ארצות הברית, ישראל, יוון, בריטניה והולנד, דבר שאינו מפתיע שכן כל המדינות הללו נמצאות ברשימת "המדינות המובילות" המשתמשות בקודי. על פי הנתונים של ESET, ישראל מדורגת במקום השני מבחינת זיהוי האיום הזה עם 9% מכלל הזיהויים. מלבד היותה של ישראל אחת המדינות המובילות בשימוש ב-Kodi, לא זוהתה סיבה ספציפית לשכיחות התופעה בישראל.
עמי רוחקס דומבה
| 16/09/2018
חוקרי הנוזקות של ESET גילו מספר תוספים לנגן הסטרימנג קודי המנצלים מערכות לינוקס ווינדוס לכרות מטבעות וירטואליים וכך לגרום למחשב שלכם להיות איטי. מחקר חדש של חברת אבטחת המידע ESET חושף לראשונה נוזקה לכריית מטבעות וירטואליים המופצת באמצעות פלטפורמת התוכן קודי. באמצעות הורדת תוסף או עדכון התוכנה שותלים האקרים במחשבי הקורבנות כורים הגורמים להאטה ושחיקה של המחשב או הסטרימר.
למי שלא מכיר, קודי היא פלטפורמה המאפשרת למשתמשים לצפות בסרטים, תוכניות טלוויזיה, תוכניות רדיו, ופודקאסטים ממקורות מקוונים שונים. עיקר השימוש בקודי הוא סטרימינג - צפיה בסרטים/סדרות ממקורות מקוונים, כולל אך לא רק, מקורות מבוססי טורנט, צפייה בערוצי טלוויזיה חיה והאזנה לתחנות רדיו מכל העולם.
הצפייה נעשית על ידי שימוש בתוספים, שהם רכיבי תוכנה חיצוניים הניתנים להתקנה על גבי תוכנת קודי, בדומה ל"תוספים" בדפדפן כרום או יישומים לטלפון החכם, ומהווים חלופה, לרוב חינמית ולרוב לא חוקית, לחברות תקשורת המספקות שירותי טלוויזיה כגון HOT, YES וסלקום TV בישראל. כעת מגלים חוקרי ESET לראשונה בתוספים Bubbles ו-Gaia של קודי נוזקה לכריית מטבעות וירטואליים המופעלת ומנצלת את הפלטפורמה של קודי.
איך זה עובד?
לתוקפים יש שלוש דרכים אפשריות להתקין כורה מטבעות וירטואליים על מחשב הקורבן. הראשונה היא הורדה של תוסף המפנה לאתר זדוני. השנייה הורדה של קודי עם התוסף כבר בתוך התוכנה, כאשר ברגע שמתבצע עדכון תוזן הכתובת של האתר הזדוני. והאחרונה בהורדה של קודי כשהתוסף הזדוני כבר מותקן ומעודכן אצלכם עם המטען הזדוני. לתוקפים מאוד קל להסוות את התוסף הזדוני מכיוון שהכתובת זהה לכתובת של התוסף הלגיטימי.
התוקפים מנצלים את התאימות של קודי למערכות הפעלה שונות כדי שהנוזקה שלהם תפעל על ווינדוס ולינוקס ובהמשך ייתכן ונראה זאת גם במק ובאנדרואיד.
מה עושה נוזקת כריית מטבעות וירטואליים?
במידה והותקן על מחשבכם הקוד הזדוני הוא מנצל את משאבי המחשב כדי לכרות מטבעות וירטואליים (Cryptominer), במקרה הנוכחי כורה מטבע בשם Monero. כריית מטבעות יכולה להתבטא בניצול של המעבד על חשבון משאבים להפעלת תוכנות אחרות, האטה של המערכת והעבודה על המחשב, שחיקה של המעבד וקיצור החיים שלו וצריכת חשמל מוגברת כתוצאה משימוש באחוז גבוה של המעבד באופן קבוע, דבר שיוביל לחשבון חשמל גבוה יותר. על פי הסטטיקסטיקות של אחד מהארנקים הוירטואליים של התוקפים, הם הצליחו לייצר 6700 דולר מ-4774 קורבנות.
חמש המדינות המובילות שנפגעו מאיום זה, על פי הנתונים של ESET, הן ארצות הברית, ישראל, יוון, בריטניה והולנד, דבר שאינו מפתיע שכן כל המדינות הללו נמצאות ברשימת "המדינות המובילות" המשתמשות בקודי. על פי הנתונים של ESET, ישראל מדורגת במקום השני מבחינת זיהוי האיום הזה עם 9% מכלל הזיהויים. מלבד היותה של ישראל אחת המדינות המובילות בשימוש ב-Kodi, לא זוהתה סיבה ספציפית לשכיחות התופעה בישראל.
