{"id":329973,"date":"2022-08-24T17:09:31","date_gmt":"2022-08-24T19:09:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/crypto-miners-utilisant-tox-p2p-messenger-comme-serveur-de-commande-et-de-controle\/"},"modified":"2022-08-24T17:09:32","modified_gmt":"2022-08-24T19:09:32","slug":"crypto-miners-utilisant-tox-p2p-messenger-comme-serveur-de-commande-et-de-controle","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/crypto-miners-utilisant-tox-p2p-messenger-comme-serveur-de-commande-et-de-controle\/","title":{"rendered":"Crypto Miners utilisant Tox P2P Messenger comme serveur de commande et de contr\u00f4le"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Les acteurs de la menace ont commenc\u00e9 \u00e0 utiliser le service de messagerie instantan\u00e9e peer-to-peer Tox comme m\u00e9thode de commande et de contr\u00f4le, marquant un changement par rapport \u00e0 son r\u00f4le ant\u00e9rieur de m\u00e9thode de contact pour les n\u00e9gociations de ransomware.<\/p>\n

Les conclusions d’Uptycs, qui a analys\u00e9 un artefact ELF (Executable and Linkable Format) (“72client<\/a>“) qui fonctionne comme un bot et peut ex\u00e9cuter des scripts sur l’h\u00f4te compromis \u00e0 l’aide du protocole Tox.<\/p>\n

Tox est un protocole sans serveur<\/a> pour les communications en ligne qui offre des protections de cryptage de bout en bout (E2EE) en utilisant la biblioth\u00e8que Networking and Cryptography (NaCl<\/a>prononc\u00e9 “sel”) pour le cryptage et l’authentification.<\/p>\n

\"La<\/a><\/div>\n

“Le binaire trouv\u00e9 dans la nature est un ex\u00e9cutable d\u00e9pouill\u00e9 mais dynamique, ce qui facilite la d\u00e9compilation”, ont d\u00e9clar\u00e9 les chercheurs Siddharth Sharma et Nischay Hedge. a dit<\/a>. “Le binaire entier semble \u00eatre \u00e9crit en C, et n’a que li\u00e9 statiquement<\/a> la biblioth\u00e8que c-toxcore.”<\/p>\n

Il convient de noter que c-toxcore est un impl\u00e9mentation de r\u00e9f\u00e9rence<\/a> du protocole Tox.<\/p>\n

\"Messager<\/div>\n

La r\u00e9tro-ing\u00e9nierie entreprise par Uptycs montre que le fichier ELF est con\u00e7u pour \u00e9crire un script shell \u00e0 l’emplacement “\/var\/tmp\/<\/a>” – un r\u00e9pertoire utilis\u00e9 pour la cr\u00e9ation de fichiers temporaires sous Linux – et lancez-le, lui permettant d’ex\u00e9cuter des commandes pour tuer les processus li\u00e9s au cryptomineur.<\/p>\n

Une deuxi\u00e8me routine est \u00e9galement ex\u00e9cut\u00e9e, ce qui lui permet d’ex\u00e9cuter un certain nombre de commandes sp\u00e9cifiques (par exemple, nproc<\/a>, qui suis je<\/a>, ID de la machine<\/a>etc.) sur le syst\u00e8me, dont les r\u00e9sultats sont ensuite envoy\u00e9s via UDP \u00e0 un destinataire Tox.<\/p>\n

\"La<\/a><\/div>\n

De plus, le binaire est livr\u00e9 avec des capacit\u00e9s pour recevoir diff\u00e9rentes commandes via Tox, sur la base desquelles le script shell est mis \u00e0 jour ou est ex\u00e9cut\u00e9 de mani\u00e8re ad hoc. Une commande “exit” \u00e9mise quitte la connexion Tox.<\/p>\n

Tox a \u00e9t\u00e9 historiquement utilis\u00e9 par les acteurs du ransomware comme m\u00e9canisme de communication, mais le dernier d\u00e9veloppement marque la premi\u00e8re fois que le protocole est utilis\u00e9 pour ex\u00e9cuter des scripts arbitraires sur une machine infect\u00e9e.<\/p>\n

“Bien que l’\u00e9chantillon discut\u00e9 ne fasse rien d’explicitement malveillant, nous pensons qu’il pourrait \u00eatre un \u00e9l\u00e9ment d’une campagne de minage”, ont d\u00e9clar\u00e9 les chercheurs. “Par cons\u00e9quent, il devient important de surveiller les composants du r\u00e9seau impliqu\u00e9s dans les cha\u00eenes d’attaque.”<\/p>\n

La divulgation arrive \u00e9galement au milieu de rapports selon lesquels la solution de syst\u00e8me de fichiers d\u00e9centralis\u00e9e connue sous le nom d’IPFS est de plus en plus utilis\u00e9e pour h\u00e9berger des sites de phishing dans le but de rendre les retraits plus difficiles.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Les acteurs de la menace ont commenc\u00e9 \u00e0 utiliser le service de messagerie instantan\u00e9e peer-to-peer Tox comme m\u00e9thode de commande et de contr\u00f4le, marquant un changement par rapport \u00e0 son r\u00f4le ant\u00e9rieur de m\u00e9thode de contact pour les n\u00e9gociations de ransomware. Les conclusions d’Uptycs, qui a analys\u00e9 un artefact ELF (Executable and Linkable Format) (“72client“) […]<\/p>\n","protected":false},"author":1,"featured_media":329974,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[10879,1756,4168,3976,3556,4158,4165,4161,4157,4159,4171,4170,4167,10788,102977,4160,4163,4162,102979,4172,4169,32855,102978,20349,4166,4164],"class_list":["post-329973","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-commande","tag-comme","tag-comment-pirater","tag-controle","tag-crypto","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-messenger","tag-miners","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-p2p","tag-securite-informatique","tag-securite-internet","tag-serveur","tag-tox","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/329973","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=329973"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/329973\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/329974"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=329973"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=329973"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=329973"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}