Bénéficier d’une réduction pour les groupes de +2 personnes de la même entreprise.
Cybersécurité Sid Ahmed Djellali today29/08/2022
Tox est une application de messagerie instantanée sans serveur qui utilise NaCl pour le chiffrement et le déchiffrement d’une manière peer-to-peer.
Les criminels utilisent Tox, un service de messagerie instantanée peer-to-peer, comme serveur de commande et de contrôle. Les chercheurs d’Uptycs ont rapporté que les acteurs de la menace utilisaient récemment Tox comme moyen pour les groupes de rançongiciels de communiquer avec leurs victimes.
Un échantillon ELF récemment découvert agit comme un virus et infecte les machines en exécutant des scripts Tox sur celles-ci.
C-toxcore n’est lié statiquement que dans le code binaire, qui est écrit en C.
Les experts ont analysé la variable shell_script. Son contenu tue les programmes connus pour infecter les serveurs Linux et élimine le crontab, que le code malveillant utilise souvent pour persister sur les systèmes. Une fonction appelée start_routine1 ouvre un fichier avec un nom aléatoire dans /var/tmp/. Il vide ensuite le contenu de shell_script dans le fichier et l’exécute.
Le script shell contenu dans le fichier déposé aurait contenu des commandes pour tuer les processus du cryptomineur.
La fonction rstart_routine2 est appelée par la fonction pthread_create en haut de la fonction main. Cette fonction envoie la sortie de chaque commande à un destinataire Tox via UDP. Il peut également exécuter des commandes telles que nproc, whoami et machine-id sur la machine.
La fonction principale comprend des fonctions telles que tox_new, tox_self_set_name et tox_self_set_status_message. Ces fonctions configurent la machine de la victime pour la messagerie instantanée P2P.
Le rapport conclut que bien que l’échantillon discuté ne fasse rien de malveillant, ils pensent qu’il pourrait être un élément d’une campagne de minage de pièces. Ils observent que Tox est utilisé pour exécuter des scripts sur la machine pour la première fois dans cet exemple. Le rapport indique que les attaquants ont déjà utilisé Tox comme mécanisme de communication, comme avec le rançongiciel HelloXD. De plus, il devient essentiel de surveiller les composants réseau impliqués dans les chaînes d’attaque lorsque l’on considère Tox comme une avenue pour les attaquants.
Written by: Sid Ahmed Djellali
Cybersécurité Sid Ahmed Djellali
L’acteur de la menace à l’origine de l’attaque de la chaîne d’approvisionnement de SolarWinds est lié à un autre type de malware post-exploitation « hautement ciblé », qui peut être utilisé pour ...
Cybersécurité Sid Ahmed Djellali
Cybersécurité Sid Ahmed Djellali
Bénéficier d’une réduction pour les groupes de +2 personnes de la même entreprise.
1-3 Rue d’Enghien
75010, Paris
France
Recevez les actualités du site Cyberdian.
Depuis 2017 @Cyberdian Tous les droits réservés.
En visitant notre site, vous acceptez notre politique de confidentialité concernant les cookies, les statistiques de suivi, etc.