Киберпреступники начали использовать протокол Tox в качестве части C&C-инфраструктуры

Необычное применение протокола Tox обнаружили специалисты из Uptycs, которые проанализировали ELF-файл под названием “72client”. Этот файл имеет функционал бота и умеет запускать скрипты на скомпрометированном хосте с помощью Tox.

Tox – это бессерверный протокол для децентрализованной текстовой, голосовой и видеосвязи в интернете. Все криптографические функции выполняются с помощью криптобиблиотеки NaCl.

Исследовав “72client”, специалисты сделали несколько выводов:

• ELF-файл написан на языке программирования C и к нему статически подключена только одна библиотека – c-toxcore, которая является эталонной реализацией протокола Tox;

• Файл предназначен для записи shell-скриптов в каталог "/var/tmp/" с их последующим запуском, что позволяет ему выполнять команды, уничтожающие процессы, которые связаны с криптомайнером;

• Кроме того, файл выполняет процедуру, позволяющую использовать ряд определенных команд (например, nproc, whoami, machine-id и т.д.). Результаты выполнения этих команд отправляются злоумышленникам по UDP.

Еще у ELF-файла есть возможность получать различные команды через Tox, обновляющие или выполняющие shell-скрипт в индивидуальном порядке. Команда "exit" обрывает соединение с Tox.

И пускай обнаруженный файл не делает ничего явно вредоносного, эксперты Uptycs считают, что он может быть частью криптомайнинговой кампании.