Раньше Tox использовался для переговоров с жертвами, а теперь становится непосредственной частью кибератак.
https://www.securitylab.ru/upload/ib...mfb5org0sw.jpg
Необычное применение протокола Tox обнаружили специалисты из Uptycs, которые проанализировали ELF-файл под названием “72client”. Этот файл имеет функционал бота и умеет запускать скрипты на скомпрометированном хосте с помощью Tox.
Tox – это бессерверный протокол для децентрализованной текстовой, голосовой и видеосвязи в интернете. Все криптографические функции выполняются с помощью криптобиблиотеки NaCl.
Исследовав “72client”, специалисты сделали несколько выводов:<ul><li>ELF-файл написан на языке программирования C и к нему статически подключена только одна библиотека – c-toxcore, которая является эталонной реализацией протокола Tox;</li>
</ul><ul><li>Файл предназначен для записи shell-скриптов в каталог "/var/tmp/" с их последующим запуском, что позволяет ему выполнять команды, уничтожающие процессы, которые связаны с криптомайнером;</li>
</ul><ul><li>Кроме того, файл выполняет процедуру, позволяющую использовать ряд определенных команд (например, nproc, whoami, machine-id и т.д.). Результаты выполнения этих команд отправляются злоумышленникам по UDP.</li>
</ul>Еще у ELF-файла есть возможность получать различные команды через Tox, обновляющие или выполняющие shell-скрипт в индивидуальном порядке. Команда "exit" обрывает соединение с Tox.
И пускай обнаруженный файл не делает ничего явно вредоносного, эксперты Uptycs считают, что он может быть частью криптомайнинговой кампании.

TOX отличный клиент, просто замечательный и очень хорошо что его начали юзать для переписок, он даже лучше джаббера, хотя и жаба + отр тоже хороша, а вот телега must die - для даркнета.