64 % des entreprises soupçonnent avoir été ciblées ou touchées par des attaques d’États-Nations

Cybersécurité Sid Ahmed Djellali today29/08/2022

Background
share close

Les chercheurs d’Uptycs ont déclaré que les acteurs de la menace utilisaient le service de messagerie instantanée peer-to-peer Tox comme serveur de commande et de contrôle.

Tox est une application de messagerie instantanée sans serveur qui utilise NaCl pour le chiffrement et le déchiffrement d’une manière peer-to-peer.

Les criminels utilisent Tox, un service de messagerie instantanée peer-to-peer, comme serveur de commande et de contrôle. Les chercheurs d’Uptycs ont rapporté que les acteurs de la menace utilisaient récemment Tox comme moyen pour les groupes de rançongiciels de communiquer avec leurs victimes.

Un échantillon ELF récemment découvert agit comme un virus et infecte les machines en exécutant des scripts Tox sur celles-ci.

C-toxcore n’est lié statiquement que dans le code binaire, qui est écrit en C.

Les experts ont analysé la variable shell_script. Son contenu tue les programmes connus pour infecter les serveurs Linux et élimine le crontab, que le code malveillant utilise souvent pour persister sur les systèmes. Une fonction appelée start_routine1 ouvre un fichier avec un nom aléatoire dans /var/tmp/. Il vide ensuite le contenu de shell_script dans le fichier et l’exécute.

Le script shell contenu dans le fichier déposé aurait contenu des commandes pour tuer les processus du cryptomineur.
La fonction rstart_routine2 est appelée par la fonction pthread_create en haut de la fonction main. Cette fonction envoie la sortie de chaque commande à un destinataire Tox via UDP. Il peut également exécuter des commandes telles que nproc, whoami et machine-id sur la machine.

La fonction principale comprend des fonctions telles que tox_new, tox_self_set_name et tox_self_set_status_message. Ces fonctions configurent la machine de la victime pour la messagerie instantanée P2P.

Le rapport conclut que bien que l’échantillon discuté ne fasse rien de malveillant, ils pensent qu’il pourrait être un élément d’une campagne de minage de pièces. Ils observent que Tox est utilisé pour exécuter des scripts sur la machine pour la première fois dans cet exemple. Le rapport indique que les attaquants ont déjà utilisé Tox comme mécanisme de communication, comme avec le rançongiciel HelloXD. De plus, il devient essentiel de surveiller les composants réseau impliqués dans les chaînes d’attaque lorsque l’on considère Tox comme une avenue pour les attaquants.

Written by: Sid Ahmed Djellali

Rate it
About the author

Sid Ahmed Djellali

Founder and Managing Director of Cyberdian


Previous post

SIÈGE SOCIAL

Cyberdian Logo Couleur

1-3 Rue d’Enghien
75010, Paris
France



Suivez-nous !


Newsletter

Recevez les actualités du site Cyberdian.