Los actores de amenazas han comenzado a utilizar el servicio de mensajería instantánea de igual a igual de Tox como un método de comando y control, marcando un cambio de su papel anterior como un método de contacto para las negociaciones de ransomware.
Los hallazgos de Uptycs, que analizaron un artefacto de formato ejecutable y enlazable (ELF) (“72cliente“) que funciona como un bot y puede ejecutar scripts en el host comprometido utilizando el protocolo Tox.
tóxico es un protocolo sin servidor para comunicaciones en línea que ofrece protecciones de cifrado de extremo a extremo (E2EE) al hacer uso de la biblioteca de redes y criptografía (NaClpronunciado “sal”) para el cifrado y la autenticación.
“El binario que se encuentra en la naturaleza es un ejecutable simplificado pero dinámico, lo que facilita la descompilación”, investigadores Siddharth Sharma y Nischay Hedge. dijo. “Todo el binario parece estar escrito en C, y solo tiene vinculado estáticamente la biblioteca c-toxcore”.
Vale la pena señalar que c-toxcore es un Implementación de referencia del protocolo Tox.
La ingeniería inversa realizada por Uptycs muestra que el archivo ELF está diseñado para escribir un script de shell en la ubicación “/var/tmp/“, un directorio utilizado para la creación de archivos temporales en Linux, e inícielo, lo que le permite ejecutar comandos para eliminar los procesos relacionados con el criptominero.
También se ejecuta una segunda rutina que le permite ejecutar una serie de comandos específicos (por ejemplo, nproc, quién soy, Identificador de máquinaetc.) en el sistema, cuyos resultados se envían posteriormente a través de UDP a un destinatario de Tox.
Además, el binario viene con capacidades para recibir diferentes comandos a través de Tox, según los cuales el script de shell se actualiza o se ejecuta de forma ad-hoc. Un comando de “salir” emitido cierra la conexión Tox.
Históricamente, los actores de ransomware han utilizado Tox como un mecanismo de comunicación, pero el último desarrollo marca la primera vez que el protocolo se usa para ejecutar scripts arbitrarios en una máquina infectada.
“Si bien la muestra discutida no hace nada explícitamente malicioso, creemos que podría ser un componente de una campaña de minería de monedas”, dijeron los investigadores. “Por lo tanto, se vuelve importante monitorear los componentes de la red involucrados en las cadenas de ataque”.
La divulgación también llega en medio de informes de que la solución de sistema de archivos descentralizado conocida como IPFS se usa cada vez más para alojar sitios de phishing en un esfuerzo por dificultar los derribos.
About the Author
