Penyerang tidak dikenal telah menemukan cara untuk menggunakan aplikasi torrent rTorrent populer untuk penambangan cryptocurrency. Aplikasi itu sendiri digunakan pada sistem mirip Unix, yang, pada prinsipnya, dianggap jauh lebih aman dalam hal peretasan daripada Windows.
Namun, dengan uji tuntas, kerentanan juga dapat ditemukan di Unix. Benar, pengguna sistem, yang dirinya memungkinkan malware untuk melakukan tugasnya, yang harus disalahkan untuk 99%. Inilah yang terjadi dalam kasus saat ini.
Belum lama ini, peneliti cybersecurity Tevis Ormandy dari Google Project Zero berbicara tentang kerentanan dalam aplikasi Bittorent yang populer - uTorrent dan Transmisi. Peneliti melakukan bukti serangan konsep yang sukses, berdasarkan kerentanan di antarmuka JSON-RPC. Ini digunakan untuk memastikan bahwa pengguna, tanpa menyadarinya, mengunduh malware.
Sesuatu yang
serupa relevan dalam kasus rTorrent, hanya di sini penyerang mengeksploitasi antarmuka rTorrent XML-RPC, yang menggunakan HTTP dan XML untuk mendapatkan input dari sistem jarak jauh. Pada saat yang sama, rTorrent tidak memerlukan otentikasi apa pun agar antarmuka berfungsi. Lebih buruk lagi, jika perlu, penyerang dapat mengeksekusi perintah pada baris perintah OS di mana rTorrent bekerja.
Penyerang memindai Internet untuk menemukan komputer yang menggunakan rTorrent dan aplikasinya, dan kemudian mengeksploitasi kerentanan untuk menginstal perangkat lunak yang ditambang Monero. Ini adalah cryptocurrency yang dianggap sepenuhnya anonim. Ini populer di antara semua jenis penjahat cyber (cryptocurrency itu sendiri sepenuhnya "putih", itu hanya alat), karena melacak transaksi sangat sulit, jika mungkin.
Pada saat informasi tentang penambang baru muncul di jaringan, para penyerang berhasil menambang sekitar $ 4.000 dalam bentuk dolar. Pada suatu hari, penyerang menambang cryptocurrency sekitar $ 43.
Masalah dalam hal ini adalah rTorrent tidak mengharuskan pengguna untuk mengambil tindakan apa pun untuk melakukan operasi yang dibutuhkan penyerang. Itulah sebabnya klien torrent bahkan lebih berbahaya daripada "rekan" nyaTorrent dan Transmisi. Yang terakhir hanya dapat terinfeksi jika pengguna mengunjungi situs jahat dengan perangkat lunak khusus.
Nah, dalam kasus rTorrent, semuanya lebih sederhana - klien sendiri mengunjungi semua yang diperlukan, menyembunyikan tindakannya dari pengguna. Perlu diingat bahwa pengembang rTorrent tidak merekomendasikan pengguna untuk menggunakan fungsi-RPC klien untuk port TCP. Sejauh yang Anda mengerti, antarmuka XML-RPC tidak diaktifkan secara default, jadi pengguna melakukannya sendiri, merasa cukup nyaman.
Malware yang diunduh dengan rTorrent tidak hanya mengunduh penambang (perangkat lunak ini, yang tampaknya tidak berbahaya, menghabiskan sumber daya komputer pengguna). Itu juga memindai sistem untuk kehadiran "pesaing". Jika ada, aplikasi mencoba menghapusnya sehingga semua sumber daya masuk ke program ini. Saat ini, ia hanya mendeteksi 3 antivirus dari 59 yang kurang lebih umum. Mungkin sebentar lagi jumlah mereka akan bertambah.
Pengembang rTorrent mengklaim bahwa saat ini ia tidak dapat melepaskan tambalan, karena ia tidak sepenuhnya memahami bahwa ia menggunakan malware untuk menginfeksi program. Jika kerentanan ditemukan, tambalan akan segera dirilis. Menurut pengembang, malware hanya memengaruhi versi rTorrent yang dimodifikasi oleh pengguna. Program ini memiliki banyak fitur yang terdokumentasi dan tidak terlalu lengkap, dan pengembang tidak dapat memeriksa semua kemungkinan kombinasi dan mode operasi.
Sejauh ini, pengguna yang menggunakan rTorrent disarankan untuk memeriksa virus pada sistem mereka. Saat ini, penambang crypto yang paling populer adalah Coinhive. Para pengembangnya, dengan kata-kata mereka sendiri, terkejut secara tidak menyenangkan oleh popularitas proyek mereka di antara para penyerang. βKami kagum dengan penyebaran kode yang cepat,β
kata seorang anggota tim. βSaat mengerjakan proyek ini, kami cukup naif, karena kami tidak berpikir bahwa penambang itu akan digunakan oleh penjahat cyber. Kami ingin pemilik kami menggunakan kode kami, menggunakannya secara terbuka, memperingatkan pengguna tentang penambangan cryptocurrency. Tapi apa yang terjadi selama beberapa minggu terakhir dengan Coinhive sungguh aneh. β
Belum jelas apa yang harus dilakukan dengan penambang crypto, dan bagaimana menghadapinya. Beberapa antivirus (kebanyakan dari mereka) menganggap penambang crypto sebagai malware. Lainnya - tidak peduli dengan program semacam itu.