{"id":338101,"date":"2022-08-24T19:01:26","date_gmt":"2022-08-24T19:01:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/criptomineros-que-usan-tox-p2p-messenger-como-servidor-de-comando-y-control\/"},"modified":"2022-08-24T19:01:27","modified_gmt":"2022-08-24T19:01:27","slug":"criptomineros-que-usan-tox-p2p-messenger-como-servidor-de-comando-y-control","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/criptomineros-que-usan-tox-p2p-messenger-como-servidor-de-comando-y-control\/","title":{"rendered":"Criptomineros que usan Tox P2P Messenger como servidor de comando y control"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los actores de amenazas han comenzado a utilizar el servicio de mensajer\u00eda instant\u00e1nea de igual a igual de Tox como un m\u00e9todo de comando y control, marcando un cambio de su papel anterior como un m\u00e9todo de contacto para las negociaciones de ransomware.<\/p>\n

Los hallazgos de Uptycs, que analizaron un artefacto de formato ejecutable y enlazable (ELF) (“72cliente<\/a>“) que funciona como un bot y puede ejecutar scripts en el host comprometido utilizando el protocolo Tox.<\/p>\n

t\u00f3xico es un protocolo sin servidor<\/a> para comunicaciones en l\u00ednea que ofrece protecciones de cifrado de extremo a extremo (E2EE) al hacer uso de la biblioteca de redes y criptograf\u00eda (NaCl<\/a>pronunciado “sal”) para el cifrado y la autenticaci\u00f3n.<\/p>\n

\"La<\/a><\/div>\n

“El binario que se encuentra en la naturaleza es un ejecutable simplificado pero din\u00e1mico, lo que facilita la descompilaci\u00f3n”, investigadores Siddharth Sharma y Nischay Hedge. dijo<\/a>. “Todo el binario parece estar escrito en C, y solo tiene vinculado est\u00e1ticamente<\/a> la biblioteca c-toxcore”.<\/p>\n

Vale la pena se\u00f1alar que c-toxcore es un Implementaci\u00f3n de referencia<\/a> del protocolo Tox.<\/p>\n

\"Mensajero<\/div>\n

La ingenier\u00eda inversa realizada por Uptycs muestra que el archivo ELF est\u00e1 dise\u00f1ado para escribir un script de shell en la ubicaci\u00f3n “\/var\/tmp\/<\/a>“, un directorio utilizado para la creaci\u00f3n de archivos temporales en Linux, e in\u00edcielo, lo que le permite ejecutar comandos para eliminar los procesos relacionados con el criptominero.<\/p>\n

Tambi\u00e9n se ejecuta una segunda rutina que le permite ejecutar una serie de comandos espec\u00edficos (por ejemplo, nproc<\/a>, qui\u00e9n soy<\/a>, Identificador de m\u00e1quina<\/a>etc.) en el sistema, cuyos resultados se env\u00edan posteriormente a trav\u00e9s de UDP a un destinatario de Tox.<\/p>\n

\"La<\/a><\/div>\n

Adem\u00e1s, el binario viene con capacidades para recibir diferentes comandos a trav\u00e9s de Tox, seg\u00fan los cuales el script de shell se actualiza o se ejecuta de forma ad-hoc. Un comando de “salir” emitido cierra la conexi\u00f3n Tox.<\/p>\n

Hist\u00f3ricamente, los actores de ransomware han utilizado Tox como un mecanismo de comunicaci\u00f3n, pero el \u00faltimo desarrollo marca la primera vez que el protocolo se usa para ejecutar scripts arbitrarios en una m\u00e1quina infectada.<\/p>\n

“Si bien la muestra discutida no hace nada expl\u00edcitamente malicioso, creemos que podr\u00eda ser un componente de una campa\u00f1a de miner\u00eda de monedas”, dijeron los investigadores. “Por lo tanto, se vuelve importante monitorear los componentes de la red involucrados en las cadenas de ataque”.<\/p>\n

La divulgaci\u00f3n tambi\u00e9n llega en medio de informes de que la soluci\u00f3n de sistema de archivos descentralizado conocida como IPFS se usa cada vez m\u00e1s para alojar sitios de phishing en un esfuerzo por dificultar los derribos.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Los actores de amenazas han comenzado a utilizar el servicio de mensajer\u00eda instant\u00e1nea de igual a igual de<\/p>\n","protected":false},"author":1,"featured_media":338102,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,29262,440,4664,2343,79883,4662,4668,4667,10369,4654,4658,4659,4653,4655,103106,4663,4666,4665,42529,103105,19062,4660],"class_list":["post-338101","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-comando","tag-como","tag-como-hackear","tag-control","tag-criptomineros","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-messenger","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-p2p","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servidor","tag-tox","tag-usan","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/338101","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=338101"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/338101\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/338102"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=338101"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=338101"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=338101"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}