Les chercheurs d’ESET ont découvert plusieurs extensions tierces pour le
populaire lecteur multimédia en open-source Kodi, utilisées pour distribuer les
logiciels malveillants d’extraction de monnaie cryptographique sous Linux et
Windows.
Si vous utilisez Kodi, vous avez peut-être remarqué qu’un dépôt
néerlandais populaire pour les add-ons (aussi appelés extensions) tiers,
XvBMC, a récemment été fermé pour violation de copyright. Après la
fermeture, nous avons découvert que le dépôt faisait partie – probablement sans
le savoir – d’une campagne de cryptominage malveillante remontant à décembre
2017. Il s’agit du deuxième cas publiquement connu de distribution à grande
échelle de logiciels malveillants via des extensions Kodi, et de la première
campagne de cryptominage publiquement connue à avoir été lancée via la
plateforme Kodi.
Fait à noter, cette campagne propulse des binaires spécifiquement pour
Linux ou Windows aux fans de Kodi utilisant ces systèmes d’opération.
Pour les personnes qui ne seraient pas familières avec la plateforme
Kodi, ce populaire logiciel de lecteur multimédia n’offre pas de contenu en
soi. Cependant, les utilisateurs peuvent étendre les fonctionnalités du
logiciel en installant des extensions, qu’on peut trouver dans le répertoire
officiel de Kodi et sur divers répertoires de tiers-parties. Certains de ces
répertoires tiers permettent aux usagers d’accéder à du contenu piraté, ce qui
a généré une controverse entourant Kodi.
Récemment, des add-ons contrevenant au droit d’auteur ont aussi été
accusés d’exposer leurs utilisateurs à des logiciels malveillants,
mais à part un incident au cours duquel un module DDoS a été ajouté à un add-on Kodi populaire
provenant d’une tierce-partie, aucune évidence de distribution de logiciel
malveillant via les extensions de Kodi n’avait été mise en lumière jusqu’à
aujourd’hui.
La campagne
Selon nos recherches, le logiciel malveillant que nous avons trouvé dans
le répertoire XvMBC a d’abord été ajouté aux répertoires d’extensions tierces
Bubbles et Gaia (une ramification de Bubbles), respectivement en décembre 2017
et janvier 2018. À partir de ces deux sources, et grâce à des mises-à-jour de
routine auprès de de propriétaires non-méfiants d’autres dépôts tiers
d’extensions et des compilations prêtes à l’emploi pour Kodi, le logiciel
malveillant s’est propagé à travers l’écosystème de Kodi.
Le logiciel malveillant possède une architecture à plusieurs étapes et
emploie des mesures pour s’assurer que sa charge utile finale – le cryptomineur
– ne peut être facilement retracée jusqu’à l’extension malveillante. Le
cryptomineur fonctionne sous Windows et Linux et exploite la cryptomonnaie
Monero (XMR). Nous n’avons pas vu de version de ce logiciel malveillant ciblant
les appareils utilisant Android ou MacOS dans la nature.
Les victimes de cette campagne se retrouvent affectées par le
cryptomineur illicite de l’une des trois façons suivantes :
1. Ils ajoutent l’URL d’un dépôt malveillant à leur installation Kodi afin
de télécharger quelques add-ons. Le module complémentaire malveillant est
ensuite installé chaque fois qu’ils mettent à jour leurs modules
complémentaires Kodi.
2. Ils installent une compilation Kodi prête à l’emploi qui inclut l’URL
d’un dépôt malveillant. Le module complémentaire malveillant est ensuite
installé chaque fois qu’ils mettent à jour leurs modules complémentaires Kodi.
3. Ils installent une compilation Kodi prête à l’emploi contenant une
extension malveillante mais aucun lien vers un référentiel pour les mises à
jour. Ils sont initialement compromis, mais ne reçoivent aucune autre mise à
jour en provenance de l’add-on malveillant. Cependant, si le cryptomineur est
installé, il sera persistant et recevra les mises à jour.
Les cinq pays les plus touchés par cette menace, selon la télémétrie de
l’ESET, sont les États-Unis, Israël, la Grèce, le Royaume-Uni et les Pays-Bas.
Ce n’est pas surprenant, puisque tous ces pays figurent sur la liste des
« pays à trafic élevé », selon les récentes
statistiques communautaires non officielles de Kodi Addon. D’autres
explications possibles pour les distributions géographiques sont les
compilations Kodi spécifiques à chaque pays contenant les dépôts malveillants,
ou les dépôts malveillants avec des bases d’utilisateurs dans les pays en
question, par exemple le répertoire néerlandais susmentionné XvBMC.
L’article complet sur :