加密矿工使用 Tox P2P Messenger 作为命令和控制服务器

Hackernews 编译，转载请注明出处：

黑客已经开始使用Tox点对点即时消息服务作为命令和控制方法，这标志着其早期作为勒索软件谈判的联系方式的角色发生了变化。

Uptycs分析了一个可执行和可链接格式（ELF）工件（“72client”），该工件充当机器人，可以使用Tox协议在受损主机上运行脚本。

Tox是一种用于在线通信的无服务器协议，它通过使用网络和加密库 （NaCl，发音为“salt”）进行加密和身份验证，提供端到端加密 （E2EE） 保护。

研究人员Siddharth Sharma和Nischay Hedge说：“在野外发现的二进制文件是一个剥离但动态的可执行文件，使反编译更容易，整个二进制文件似乎是用C编写的，并且只是静态链接了c-toxcore库。”

值得注意的是，c-toxcore是Tox协议的参考实现。

Uptycs进行的逆向工程表明，ELF文件旨在将shell脚本写入位置“/var/tmp/”（Linux中用于临时文件创建的目录）并启动它，使其能够运行命令以杀死加密矿工相关进程。

除此之外，还执行了第二个例程，该例程允许它在系统上运行许多特定命令（例如，nproc、whoami、machine-id等），其结果随后通过UDP发送到Tox接收方。

此外，二进制文件还具有通过Tox接收不同命令的功能，在此基础上更新shell脚本或临时执行，发出的“退出”命令将退出Tox连接。

Tox历来被勒索软件黑客用作通信机制，但最新的开发标志着该协议首次被用于在受感染的机器上运行任意脚本。

研究人员说：“虽然讨论的样本没有做任何明显的恶意行为，但我们认为它可能是coinminer活动的一部分。因此，监控攻击链中涉及的网络组件变得非常重要。”

在披露的同时，有报道称，被称为IPFS的分布式文件系统解决方案越多地用于托管网络钓鱼网站，使数据拦截变得更加困难。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文