Aanvallers richten zich op door een bepaalde configuratie kwetsbare rTorrent-clients om gebruikers heimelijk de cryptovaluta Monero te laten minen. Voor het misbruiken van de clients is geen interactie van de gebruikers vereist.

Beveiligingsbedrijf F5 ontdekte dat aanvallers actief op internet zoeken naar kwetsbare rTorrent-clients om deze uit te kunnen buiten voor het minen van Monero. De criminelen wisten op deze manier ongeveer 35 euro per dag aan Monero te minen, voor een totaal van ongeveer 3200 euro.

De client van rTorrent is gebaseerd op de libTorrent-libraries voor Unix. Optioneel ondersteunt het programma het remote procedure call-protocol XML-RPC, voor beheer via andere tools. Om zo te communiceren met rTorrent vereist geen authenticatie, omdat de functie niet bedoeld is om publiekelijk toegankelijk te zijn.

De aanvallers ontdekten dat er rTorrent-clients gebruikt worden die niet goed geconfigureerd zijn en wel shellcommands op afstand kunnen uitvoeren. Zodra die gevonden worden, weten de aanvallers via Tor2Web een coinminer binnen te smokkelen en bovendien al aanwezige miners stop te zetten.

Onlangs werden kwetsbaarheden in μTorrent gevonden die eveneens het uitvoeren van code mogelijk maakten, maar om die uit te buiten moeten gebruikers bijvoorbeeld overgehaald te worden naar een website te gaan om via een dns-rebinding-aanval commando's uit te voeren.

Reacties mogelijk gemaakt door CComment