Необычное применение протокола Tox обнаружили специалисты из Uptycs, которые проанализировали ELF-файл под названием “72client”. Этот файл имеет функционал бота и умеет запускать скрипты на скомпрометированном хосте с помощью Tox.
Tox – это бессерверный протокол для децентрализованной текстовой, голосовой и видеосвязи в интернете. Все криптографические функции выполняются с помощью криптобиблиотеки NaCl.
Исследовав “72client”, специалисты сделали несколько выводов:
ELF-файл написан на языке программирования C и к нему статически подключена только одна библиотека – c-toxcore, которая является эталонной реализацией протокола Tox;
Файл предназначен для записи shell-скриптов в каталог «/var/tmp/» с их последующим запуском, что позволяет ему выполнять команды, уничтожающие процессы, которые связаны с криптомайнером;
Кроме того, файл выполняет процедуру, позволяющую использовать ряд определенных команд (например, nproc, whoami, machine-id и т.д.). Результаты выполнения этих команд отправляются злоумышленникам по UDP.
Еще у ELF-файла есть возможность получать различные команды через Tox, обновляющие или выполняющие shell-скрипт в индивидуальном порядке. Команда «exit» обрывает соединение с Tox.
И пускай обнаруженный файл не делает ничего явно вредоносного, эксперты Uptycs считают, что он может быть частью криптомайнинговой кампании.
Источник: SecurityLab