Os invasores desconhecidos encontraram uma maneira de usar o popular aplicativo de torrent rTorrent para mineração de criptomoedas. O aplicativo em si é usado em sistemas tipo Unix, que, em princípio, são considerados muito mais seguros em termos de hackers do que o Windows.
No entanto, com a devida diligência, uma vulnerabilidade também pode ser encontrada no Unix. É verdade que o usuário do sistema, que permite que o malware execute suas tarefas, é responsável por 99%. Foi o que aconteceu no caso atual.
Há pouco tempo, o pesquisador de segurança cibernética Tevis Ormandy, do Google Project Zero, falou sobre vulnerabilidades nos aplicativos populares da Bittorent - uTorrent e Transmission. O pesquisador conduziu uma prova bem-sucedida de ataque de conceito, com base em uma vulnerabilidade na interface JSON-RPC. É usado para garantir que o usuário, sem saber, faça o download do malware.
Algo
semelhante é relevante no caso do rTorrent, somente aqui os invasores exploram a interface XML-RPC do rTorrent, que usa HTTP e XML para obter informações de sistemas remotos. Ao mesmo tempo, o rTorrent não requer nenhuma autenticação para a interface funcionar. Pior ainda, se necessário, os invasores podem executar comandos na linha de comando do SO onde o rTorrent trabalha.
Os invasores examinam a Internet para encontrar computadores que usam o rTorrent e seus aplicativos e, em seguida, exploram uma vulnerabilidade para instalar o software que o Monero está explorando. Essa é uma criptomoeda considerada completamente anônima. É popular entre todos os tipos de cibercriminosos (a própria criptomoeda é completamente "branca", é apenas uma ferramenta), pois o rastreamento de transações é muito difícil, se possível.
No momento em que as informações sobre o novo minerador apareceram na rede, os atacantes já conseguiram extrair cerca de US $ 4.000 em dólares. Em um dia, os invasores mineram criptomoedas em cerca de US $ 43.
O problema nesse caso é que o rTorrent não exige que o usuário execute nenhuma ação para executar as operações necessárias aos invasores. É por isso que o cliente de torrent é ainda mais perigoso que seus "colegas" uTorrent e Transmission. O último pode ser infectado apenas se o usuário visitar sites maliciosos com software especializado.
Bem, no caso do rTorrent, tudo é mais simples - o próprio cliente visita tudo o que é necessário, ocultando suas ações do usuário. Vale lembrar que o desenvolvedor do rTorrent não recomenda que os usuários usem a funcionalidade RPC do cliente para portas TCP. Tanto quanto você pode entender, a interface XML-RPC não é ativada por padrão, então os usuários fazem isso sozinhos, achando conveniente o suficiente.
O malware baixado com o rTorrent não apenas baixa o mineiro (esse software, que parece inofensivo, consome os recursos do computador do usuário). Ele também verifica o sistema quanto à presença de "concorrentes". Se eles estiverem localizados, o aplicativo tentará excluí-los para que todos os recursos acessem este programa. No momento, ele detecta apenas 3 antivírus de 59 mais ou menos comuns. Provavelmente em breve o número deles aumentará.
O desenvolvedor rTorrent afirma que, no momento, ele não pode liberar o patch, porque ele não entende completamente que está usando o malware para infectar o programa. Se uma vulnerabilidade for descoberta, o patch será lançado imediatamente. Segundo o desenvolvedor, o malware afeta apenas as versões do rTorrent que são modificadas pelos usuários. O programa possui muitos recursos documentados e não muito utilizados, e o desenvolvedor não pode verificar todas as combinações e modos de operação possíveis.
Até agora, os usuários que usam o rTorrent são aconselhados a verificar se há vírus em seus sistemas. No momento, o minerador de criptografia mais popular é o Coinhive. Seus desenvolvedores, em suas próprias palavras, ficaram desagradavelmente surpresos com a popularidade de seu projeto entre os atacantes. "Ficamos surpresos com a rápida disseminação do código",
diz um membro da equipe. “Enquanto trabalhamos no projeto, éramos bastante ingênuos, porque não pensávamos que o mineiro seria usado por criminosos cibernéticos. Queríamos que nossos proprietários usassem nosso código, usem-no abertamente, alertando os usuários sobre a mineração de criptomoedas. Mas o que aconteceu nas últimas semanas com o Coinhive é inexprimivelmente estranho. ”
Ainda não está claro o que fazer com os mineradores de criptografia e como lidar com eles. Alguns antivírus (a maioria deles) percebem qualquer minerador de criptografia como malware. Outros - não se preocupam com esses programas.