Hackerano rTorrent e installano un tool per il mining di criptovalute

Un team di hacker è riuscito a generare, fino al momento in cui scriviamo, un guadagno di circa 3.900 dollari in criptovalute all'interno di una campagna ancora in corso d'opera. L'exploit è stato inserito all'interno dell'app rTorrent, che installa un software per il mining di criptovalute sui computer che eseguono sistemi operativi Unix. A diffondere la notizia della campagna è stata la firma di sicurezza F5, che ha pubblicato un post sul blog ufficiale in cui si leggono tutti i dettagli.

Le vulnerabilità sfruttate sono simili in alcuni aspetti a quelle scoperte dal ricercatore Tavis Ormandy di Project Zero, anche se in quei casi venivano presi di mira i client uTorrent e Transmission. I proof-of-concept di Ormandy prendevano di mira alcuni bug nell'interfaccia JSON-RPC necessaria per gestire i download di un sistema da un computer remoto. In quei casi i siti malevoli avrebbero potuto abusare della tecnologia per eseguire codice malevolo sui sistemi.

Gli attacchi su rTorrent sfruttano invece l'interfaccia XML-RPC, che utilizza il protocollo HTTP e XML per ricevere richieste da computer remoti. Per far funzionare l'interfaccia il client non necessita di autenticazione e l'interfaccia può eseguire comandi di shell direttamente sul sistema operativo su cui il client viene eseguito. Gli aggressori vanno così alla ricerca di computer che utilizzano i client rTorrent con la funzione attiva, attaccandoli per installare il software di mining.

Il tool effettua il mining di Monero, operazione che ha garantito al team un introito combinato di 3.900 dollari. Non è tantissimo, visto che parliamo di circa 43 dollari al giorno, soprattutto se consideriamo che altri colleghi sono riusciti a guadagnare complessivamente 3,4 milioni di dollari con attacchi criminali paragonabili. Il nuovo exploit sembra però più severo rispetto a quelli mostrati su uTorrent e Transmission, visto che non richiedono alcuna interazione da parte dell'utente.

Nei casi precedenti, infatti, quest'ultimo avrebbe avuto bisogno di visitare un sito web per scatenare l'exploit, ma su rTorrent non è necessario. Lo sviluppatore di rTorrent "raccomanda esplicitamente di non utilizzare la funzionalità RPC su socket TCP", e sottolinea che la funzionalità non è attiva in via predefinita sul client. Il tool installato su rTorrent, infine, non solo effettua il mining di criptovalute, ma va anche alla ricerca di ulteriori client vulnerabili connessi ad internet.

Al momento in cui scriviamo la vulnerabilità è infine rilevata solamente da una piccola percentuale di antivirus, ma la situazione dovrebbe cambiare in fretta.