עדיין משתמשים בקודי? שימו לב לנוזקה שתוקפת ישראלים רבים

חוקרי חברת ESET מדווחים על גילויים של תוספים לתוכנת הקודי שמנצלים את המחשב שלכם לטובת כריית מטבעות וירטואלים. אז במה מדובר ואיך לזהות אם נפגעתם? הנה הפרטים

אונליין עשר | 16.09.2018

ממשק הקודי | צילום: צילום מסך

משתמשים בקודי ומרגישים שהמחשב או הסטרימר שלכם הפכו איטיים לפתע? כנראה שאתם לא הוזים.חוקרי הנוזקות של ESET גילו מספר תוספים לנגן הסטרימנג קודי המנצלים מערכות לינוקס ווינדוס לכרות מטבעות וירטואליים וכך לגרום למחשב שלכם להיות איטי בטירוף.

מחקר חדש של חברת אבטחת המידע ESET חושף לראשונה נוזקה לכריית מטבעות וירטואליים המופצת באמצעות פלטפורמת התוכן קודי. באמצעות הורדת תוסף או עדכון התוכנה שותלים האקרים במחשבי הקורבנות כורים הגורמים להאטה ושחיקה של המחשב או הסטרימר.

למי שלא מכיר, קודי היא פלטפורמה המאפשרת למשתמשים לצפות בסרטים, תוכניות טלוויזיה, תוכניות רדיו, ופודקאסטים ממקורות מקוונים שונים. עיקר השימוש בקודי הוא סטרימינג - צפיה בסרטים/סדרות ממקורות מקוונים, כולל אך לא רק, מקורות מבוססי טורנט, צפייה בערוצי טלוויזיה חיה והאזנה לתחנות רדיו מכל העולם. הצפייה נעשית על ידי שימוש בתוספים, שהם רכיבי תוכנה חיצוניים הניתנים להתקנה על גבי תוכנת קודי, בדומה ל"תוספים" בדפדפן כרום או יישומים לטלפון החכם, ומהווים חלופה, לרוב חינמית ולרוב לא חוקית, לחברות תקשורת המספקות שירותי טלוויזיה כגון HOT, YES וסלקום TV בישראל.

אז במה מדובר?

חוקרי ESET מדווחים לראשונה כי בתוספים Bubbles ו-Gaia של קודי נתגלתה נוזקה לכריית מטבעות וירטואליים המופעלת ומנצלת את הפלטפורמה של קודי. לטענת החוקרים לתוקפים יש שלוש דרכים אפשריות להתקין כורה מטבעות וירטואליים על מחשב הקורבן. הראשונה היא הורדה של תוסף המפנה לאתר זדוני. השנייה הורדה של קודי עם התוסף כבר בתוך התוכנה, כאשר ברגע שמתבצע עדכון תוזן הכתובת של האתר הזדוני. והאחרונה בהורדה של קודי כשהתוסף הזדוני כבר מותקן ומעודכן אצלכם עם המען הזדוני. לתוקפים מאוד קל להסוות את התוסף הזדוני מכיוון שהכתובת זהה לכתובת של התוסף הלגיטימי.

איך הנוזקה בעצם עובדת?

במידה והותקן על מחשבכם הקוד הזדוני הוא מנצל את משאבי המחשב כדי לכרות מטבעות וירטואליים (Cryptominer), במקרה הנוכחי כורה מטבע בשם Monero. כריית מטבעות יכולה להתבטא בניצול של המעבד על חשבון משאבים להפעלת תוכנות אחרות, האטה של המערכת והעבודה על המחשב, שחיקה של המעבד וקיצור החיים שלו וצריכת חשמל מוגברת כתוצאה משימוש באחוז גבוה של המעבד באופן קבוע, דבר שיוביל לחשבון חשמל גבוה יותר.

מה עושים?

אם אתם משתמשים ב- Kodi על מערכת הפעלה Windows או Linux והתקנתם את התוספים Bubbes או Gaia, תוספים אחרים ממאגרי צד שלישי או מהמאגר הרשמי של Kodi, יש סיכוי שהתקנתם כורה מטבעות וירטואליים על המחשב שלכם.

כדי לבדוק אם המחשב שלכם נפגע, סרקו אותו באמצעות פתרון אנטי וירוס אמין.

האם המחשב שלי נפגע? כיצד ניתן לנקות אותו?

במידה ולא מותקנת תוכנה המגינה מפני נוזקות על המכשיר; ב-Windows ניתן להשתמש בסורק החינמי של ESET, ועל לינוקס ניתן להתקין ניסיון ללא תשלום של ESET NOD32 Antivirus עבור שולחן העבודה של Linux, כדי לבדוק האם המחשב נגוע באיומים אלה ולהסיר כל דבר מזוהה. לקוחות ESET קיימים מוגנים באופן אוטומטי. הקלות היחסית בה ניתן לנצל את פלטפורמת קודי ולהתאים אותה לנוזקות שונות מצביעה על כך שגם בעתיד נראה שימוש בפלטפורמה זו לכריית מטבעות וירטואליים או נוזקות אחרות.

חמש המדינות המובילות שנפגעו מאיום זה, על פי הנתונים של ESET, הן ארצות הברית, ישראל, יוון, בריטניה והולנד, דבר שאינו מפתיע שכן כל המדינות הללו נמצאות ברשימת "המדינות המובילות" המשתמשות בקודי. על פי הנתונים של ESET, ישראל מדורגת במקום השני מבחינת זיהוי האיום הזה עם 9% מכלל הזיהויים. מלבד היותה של ישראל אחת המדינות המובילות בשימוש ב-Kodi, לא זוהתה סיבה ספציפית לשכיחות התופעה בישראל. פרט מעניין נוסף לפני סיום הוא שעל פי הסטטיקסטיקות של אחד מהארנקים הוירטואליים של התוקפים, נראה כי הם הצליחו לייצרעד כה רווח של כ- 6700 דולר מ-4774 קורבנות.