未知的攻击者找到了一种使用流行的rTorrent torrent应用程序进行加密货币挖掘的方法。 该应用程序本身可在类Unix系统上使用,从原理上讲,就黑客而言,该系统比Windows更安全。
但是,通过尽职调查,在Unix上也可以发现一个漏洞。 没错,系统用户(本人允许恶意软件执行其任务)应归咎于99%。 这就是当前的情况。
不久之前,网络安全研究员Google Project Zero的Tevis Ormandy谈到了流行的Bittorent应用程序-uTorrent和Transmission中的漏洞。 研究人员基于JSON-RPC界面中的漏洞,成功进行了概念验证攻击。 它用于确保用户在不知情的情况下下载恶意软件。
对于rTorrent,情况与此
类似 ,只是攻击者在这里利用rTorrent XML-RPC接口,该接口使用HTTP和XML从远程系统获取输入。 同时,rTorrent不需要任何身份验证即可使接口正常工作。 更糟糕的是,如果有必要,攻击者可以在rTorrent工作所在的操作系统的命令行上执行命令。
攻击者扫描互联网,找到使用rTorrent及其应用程序的计算机,然后利用漏洞安装Monero矿工的软件。 这是一种完全匿名的加密货币。 它在所有类型的网络罪犯中都很流行(加密货币本身完全是“白色”,它只是一种工具),因为跟踪交易非常困难,即使有可能也是如此。
在有关新矿工的信息出现在网络上时,攻击者已经设法开采了约4000美元的美元。 每天,攻击者挖掘加密货币的费用约为43美元。
这种情况下的问题是,rTorrent不需要用户采取任何行动来执行攻击者所需的操作。 这就是为什么torrent客户端比其“同事” uTorrent和Transmission更危险的原因。 仅当用户使用专用软件访问恶意站点时,后者才能被感染。
好吧,在rTorrent的情况下,一切都变得更简单-客户自己访问了所需的一切,对用户隐藏了他的动作。 值得记住的是,rTorrent的开发人员不建议用户将客户端的RPC功能用于TCP端口。 据您了解,默认情况下未启用XML-RPC接口,因此用户自己进行操作,发现它足够方便。
使用rTorrent下载的恶意软件不仅下载了矿机(该软件看上去无害,而且会消耗用户的计算机资源)。 它还会扫描系统中是否存在“竞争对手”。 如果找到它们,则应用程序将尝试删除它们,以便所有资源都进入该程序。 目前,它在大约59种常见病毒中仅检测到3种。 可能很快他们的人数就会增加。
开发人员rTorrent声称,由于无法完全理解自己正在使用恶意软件感染程序,因此目前无法发布补丁。 如果发现漏洞,补丁将立即发布。 根据开发人员的说法,该恶意软件仅影响用户修改的rTorrent版本。 该程序有很多有据可查的文档,但并不是全部都用完了,因此开发人员无法检查所有可能的组合和操作模式。
到目前为止,建议使用rTorrent的用户检查其系统是否有病毒。 目前,最受欢迎的加密矿工是Coinhive。 用他们自己的话说,它的开发人员对他们的项目在攻击者中的受欢迎程度感到惊讶。 一位团队成员
说: “我们对代码的迅速普及感到惊讶。” “在进行该项目时,我们非常幼稚,因为我们认为该矿工不会被网络罪犯使用。 我们希望所有者使用我们的代码,公开使用它,警告用户有关加密货币挖矿的信息。 但是过去几周Coinhive发生的事情真是不可思议。”
尚不清楚如何处理加密矿工,以及如何处理它们。 一些防病毒软件(大多数)将任何加密矿工都视为恶意软件。 其他-不在乎此类程序。