Los atacantes desconocidos han encontrado una manera de usar la popular aplicación de torrent rTorrent para la minería de criptomonedas. La aplicación en sí se usa en sistemas similares a Unix, que, en principio, se consideran mucho más seguros en términos de piratería que Windows.
Sin embargo, con la debida diligencia, también se puede encontrar una vulnerabilidad en Unix. Es cierto que el usuario del sistema, que él mismo permite que el malware realice sus tareas, tiene la culpa del 99%. Esto es lo que sucedió en el caso actual.
No hace mucho tiempo, el investigador de ciberseguridad Tevis Ormandy de Google Project Zero habló sobre las vulnerabilidades en las populares aplicaciones de Bittorent: uTorrent y Transmission. El investigador realizó un ataque exitoso de prueba de concepto, basado en una vulnerabilidad en la interfaz JSON-RPC. Se utiliza para garantizar que el usuario, sin saberlo, descargue el malware.
Algo
similar es relevante en el caso de rTorrent, solo aquí los atacantes explotan la interfaz rTorrent XML-RPC, que utiliza HTTP y XML para obtener información de sistemas remotos. Al mismo tiempo, rTorrent no requiere ninguna autenticación para que la interfaz funcione. Peor aún, si es necesario, los atacantes pueden ejecutar comandos en la línea de comandos del sistema operativo donde funciona rTorrent.
Los atacantes escanean Internet para encontrar computadoras que usan rTorrent y sus aplicaciones, y luego explotan una vulnerabilidad para instalar software que los mineros de Monero. Esta es una criptomoneda que se considera completamente anónima. Es popular entre todo tipo de ciberdelincuentes (la criptomoneda en sí es completamente "blanca", es solo una herramienta), ya que el seguimiento de las transacciones es muy difícil, si es posible.
En el momento en que apareció la información sobre el nuevo minero en la red, los atacantes lograron extraer ya alrededor de $ 4,000 en términos de dólares. En un día, los atacantes extraen criptomonedas por alrededor de $ 43.
El problema en este caso es que rTorrent no requiere que el usuario realice ninguna acción para realizar las operaciones que necesitan los atacantes. Es por eso que el cliente de torrent es aún más peligroso que sus "colegas" uTorrent y Transmission. Este último solo puede infectarse si el usuario visita sitios maliciosos con software especializado.
Bueno, en el caso de rTorrent, todo es más simple: el cliente visita todo lo que necesita, ocultando sus acciones al usuario. Vale la pena recordar que el desarrollador de rTorrent no recomienda a los usuarios utilizar la funcionalidad RPC del cliente para los puertos TCP. Por lo que puede entender, la interfaz XML-RPC no está habilitada de forma predeterminada, por lo que los usuarios lo hacen ellos mismos, lo que les resulta lo suficientemente conveniente.
El malware descargado con rTorrent no solo descarga el minero (este software, que parece inofensivo, consume los recursos informáticos del usuario). También escanea el sistema en busca de la presencia de "competidores". Si se encuentran, la aplicación intenta eliminarlos para que todos los recursos vayan a este programa. Por el momento, detecta solo 3 antivirus de los 59 más o menos comunes. Probablemente pronto su número aumentará.
El desarrollador rTorrent afirma que por el momento no puede lanzar el parche, porque no comprende completamente que está utilizando el malware para infectar el programa. Si se descubre una vulnerabilidad, el parche se lanzará de inmediato. Según el desarrollador, el malware solo afecta a las versiones de rTorrent que los usuarios modifican. El programa tiene muchas características documentadas y no muy completas que se utilizan por completo, y el desarrollador no puede verificar todas las combinaciones y modos de operación posibles.
Hasta ahora, se recomienda a los usuarios que usan rTorrent que verifiquen sus sistemas en busca de virus. Por el momento, el minero criptográfico más popular es Coinhive. Sus desarrolladores, en sus propias palabras, quedaron desagradablemente sorprendidos por la popularidad de su proyecto entre los atacantes. "Nos sorprendió la rápida difusión del código",
dice un miembro del equipo. “Mientras trabajábamos en el proyecto, fuimos bastante ingenuos, porque no pensábamos que el minero sería utilizado por los cibercriminales. Queríamos que nuestros propietarios usaran nuestro código, lo usaran abiertamente, advirtiendo a los usuarios sobre la minería de criptomonedas. Pero lo que sucedió en las últimas semanas con Coinhive es inexpresablemente extraño ".
Todavía no está claro qué hacer con los mineros de cifrado y cómo tratar con ellos. Algunos antivirus (la mayoría de ellos) perciben a cualquier cripto minero como malware. Otros - no me importan esos programas.