Ubuntu Linuxがインストールされたラップトップコンピュータの動作が重くなりました。

私たちは、CPUとメモリ使用量、およびその他のシステム運用パラメータを監視しましたが、原因はわかりませんでした。どうしたらいいのかわからず、とりあえずさまざまなブラウザでウェブを閲覧し、不審なアプリケーションや拡張機能を探し、ブラウザのキャッシュを消去してやっと、正常に動作するようになりました。

しばらくしてまた同じ問題が起き、ラップトップの持ち主は不満を口にしながら、ラップトップを渡しました。この時点で、発生していたすべての「症状」がなくなっているという不可解な症状に興味を持ちました。マシンの持ち主は、困惑して私を見つめているだけです。

ある時点で、別のラップトップを使用して、問題のデバイスが定期的に接続しているWi-Fiネットワーク経由でインターネットに接続しました。そして、この時、個人用ラップトップのSafariブラウザがCPUの容量を大量に使用していることが分かりました。

このスクリーンショットでは、特定のサイトで心当たりのない名前のスクリプトが繰り返し実行されていることと、2つのブラウザ拡張機能からとみられるサードパーティスクリプトがいくつか存在することが示されています。

すべてのブラウザ拡張機能を無効にし、後で削除しましたが、問題は解決されませんでした。スクリプトはサイトコードで保持されていました。デバッガを使ってさらに調べると、スクリプトは CryptoNight アルゴリズムを使用して仮想通貨 Monero の暗号を取得していたことがわかりました。それは間違いなく、サイトで作業中のマイナーだったようです。

私たちはサイトの所有者に、そのプログラムが非常に悪い動きをするものであることを伝えるメッセージを送るつもりでしたが、万一のことを考え、すべて再確認することに決めました。

私たちは、同じスクリプトが他のサイトにまで及んでいることに気付きました! 私たちが使用していたブラウザは拡張機能やプラグインを一切使用しないものでしたが、結果は同じでした。マイニングコードを含む同じスクリプトが毎回現れ、その後いくつかのサイトでの出現を確認しました。

検査は非常に面倒で、問題の解決に長い時間を要していたため、オペレーティングシステムの再インストールを選択しました。

MacOSを再インストールすると、何もできませんでした。

ルータファームウェアの悪意のあるコードは、HTTPSを使用していないサイトからロードされたWebページにマイニングコードを注入することで、HTTP + TCP MITM攻撃を容易にしました。だからこそ問題は断続的に起きていたのです。コンテンツがHTTP経由でブラウザのタブに読み込まれた場合、CPUはウイルス作成者のために Monero の採掘をしていました!

この問題はルータのリフレッシュで解決できました。

攻撃者は rTorrent を実行しているコンピュータやそれに基づいた他のアプリケーションを World Wide Web でスキャンします。その後、脆弱性を利用して Monero を狙う悪質なプログラムをインストールします。

また、 rTorrent の開発者は、TCPポートを介してRPC通信の確立を推奨していません。 XML-RPC はデフォルトでは無効になっているため、ユーザーはユーザーフレンドリーなフロントエンドでアプリケーションを制御できます。

rTorrentの脆弱性を悪用して侵入したマルウェアは、マイナーアプリケーションをダウンロードするだけではなく(このソフトウェアはシステムリソースを消費します)、システム内の「競合相手」を探します。いずれかが検出された場合、マルウェアはそれらを削除するために、すべてのシステムキャパシティがマイナーが展開したものによって利用されていることを確認します。

現在のところ、マルウェアプログラムは、59種類の一般的なウイルス対策プログラムのうち3種類のウイルス対策プログラムで検出されますが、対象はすぐに増える可能性があります。