Penambang Crypto Menggunakan Tox P2P Messenger sebagai Server Perintah dan Kontrol

  • Bagikan
Crypto Miners

Beritaini.top Penambang Crypto Menggunakan Tox P2P Messenger sebagai Server Perintah dan Kontrol

Penambang Kripto

Pelaku ancaman mulai menggunakan layanan pesan instan peer-to-peer Tox sebagai metode perintah-dan-kontrol, menandai pergeseran dari peran sebelumnya sebagai metode kontak untuk negosiasi ransomware.

Temuan dari Uptycs, yang menganalisis artefak Executable and Linkable Format (ELF) (“72klien“) yang berfungsi sebagai bot dan dapat menjalankan skrip pada host yang disusupi menggunakan protokol Tox.

Toks adalah protokol tanpa server untuk komunikasi online yang menawarkan perlindungan enkripsi ujung ke ujung (E2EE) dengan memanfaatkan perpustakaan Jaringan dan Kriptografi (NaCldiucapkan “garam”) untuk enkripsi dan otentikasi.

Keamanan cyber

“Binner yang ditemukan di alam liar adalah executable tetapi dinamis, membuat dekompilasi lebih mudah,” peneliti Siddharth Sharma dan Nischay Hedge dikatakan. “Seluruh biner tampaknya ditulis dalam C, dan hanya memiliki terhubung secara statis perpustakaan c-toxcore.”

Perlu dicatat bahwa c-toxcore adalah implementasi referensi dari protokol Tox.

Tox P2P Messenger

Rekayasa terbalik yang dilakukan oleh Uptycs menunjukkan bahwa file ELF dirancang untuk menulis skrip shell ke lokasi “/var/tmp/” – direktori yang digunakan untuk pembuatan file sementara di Linux – dan meluncurkannya, memungkinkannya menjalankan perintah untuk mematikan proses terkait cryptominer.

Juga dieksekusi adalah rutin kedua yang memungkinkan untuk menjalankan sejumlah perintah tertentu (misalnya, nproc, siapa saya, mesin-iddll.) pada sistem, yang hasilnya kemudian dikirim melalui UDP ke penerima Tox.

Keamanan cyber

Selain itu, biner dilengkapi dengan kemampuan untuk menerima perintah yang berbeda melalui Tox, berdasarkan mana skrip shell diperbarui atau dieksekusi secara ad-hoc. Perintah “keluar” yang dikeluarkan akan menghentikan koneksi Tox.

Tox secara historis digunakan oleh pelaku ransomware sebagai mekanisme komunikasi, tetapi perkembangan terbaru menandai pertama kalinya protokol digunakan untuk menjalankan skrip arbitrer pada mesin yang terinfeksi.

“Sementara sampel yang dibahas tidak melakukan sesuatu yang secara eksplisit berbahaya, kami merasa itu mungkin merupakan komponen dari kampanye coinminer,” kata para peneliti. “Oleh karena itu, menjadi penting untuk memantau komponen jaringan yang terlibat dalam rantai serangan.”

Pengungkapan ini juga muncul di tengah laporan bahwa solusi sistem file terdesentralisasi yang dikenal sebagai IPFS semakin banyak digunakan untuk meng-hosting situs phishing dalam upaya untuk mempersulit penghapusan.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.