Bedrohungsakteure haben damit begonnen, den Peer-to-Peer-Instant-Messaging-Dienst Tox als Befehls- und Kontrollmethode zu nutzen, was einen Wechsel von seiner früheren Rolle als Kontaktmethode für Ransomware-Verhandlungen bedeutet.
Diese Erkenntnisse stammen von Uptycs, das ein ELF-Artefakt (Executable and Linkable Format) („72client“) analysiert hat, das als Bot fungiert und über das Tox-Protokoll Skripte auf dem angegriffenen Rechner ausführen kann.
Tox ist ein serverloses Protokoll für die Online-Kommunikation, das eine Ende-zu-Ende-Verschlüsselung (E2EE) bietet, indem es die Networking and Cryptography Library (NaCl, ausgesprochen „Salz“) zur Verschlüsselung und Authentifizierung nutzt.
„Die in freier Wildbahn gefundene Binärdatei ist eine gestrippte, aber dynamische ausführbare Datei, die die Dekompilierung erleichtert“, so die Forscher Siddharth Sharma und Nischay Hedge. „Die gesamte Binärdatei scheint in C geschrieben zu sein und hat nur die c-toxcore-Bibliothek statisch gelinkt.
Es ist erwähnenswert, dass c-toxcore eine Referenzimplementierung des Tox-Protokolls ist.
Das von Uptycs durchgeführte Reverse Engineering zeigt, dass die ELF-Datei dazu dient, ein Shell-Skript in den Speicherort „/var/tmp/“ zu schreiben – ein Verzeichnis, das in Linux für die Erstellung temporärer Dateien verwendet wird – und es zu starten, damit es Befehle zum Beenden von Prozessen im Zusammenhang mit Krypto-Minern ausführen kann.
Außerdem wird eine zweite Routine ausgeführt, die es ermöglicht, eine Reihe bestimmter Befehle (z. B. nproc, whoami, machine-id usw.) auf dem System auszuführen, deren Ergebnisse anschließend über UDP an einen Tox-Empfänger gesendet werden.
Darüber hinaus verfügt die Binärdatei über die Möglichkeit, verschiedene Befehle über Tox zu empfangen, anhand derer das Shell-Skript aktualisiert oder ad hoc ausgeführt wird. Mit dem Befehl „exit“ wird die Tox-Verbindung beendet.
Tox wurde in der Vergangenheit von Ransomware-Akteuren als Kommunikationsmechanismus genutzt, aber die jüngste Entwicklung markiert das erste Mal, dass das Protokoll verwendet wird, um beliebige Skripte auf einem infizierten Computer auszuführen.
„Obwohl das besprochene Beispiel nichts explizit Bösartiges tut, glauben wir, dass es ein Bestandteil einer Coinminer-Kampagne sein könnte“, so die Forscher. „Deshalb ist es wichtig, die Netzwerkkomponenten zu überwachen, die an den Angriffsketten beteiligt sind“.
Die Enthüllung erfolgt inmitten von Berichten, dass die dezentrale Dateisystemlösung IPFS zunehmend für das Hosten von Phishing-Seiten genutzt wird, um eine Löschung zu erschweren.