Caçadores de ameaças estão alertando sobre uma nova variante de um Remote Access Trojan (RAT) chamado Chaos RAT, que tem sido utilizado em ataques recentes voltados para sistemas Windows e Linux.
Conforme descobertas da Acronis, o artefato de malware pode ter sido distribuído enganando vítimas para que elas baixassem uma utilidade de troubleshooting de rede para ambientes Linux.
"Chaos RAT é um RAT open-source escrito em Golang, oferecendo suporte multiplataforma tanto para sistemas Windows quanto Linux", disseram os pesquisadores de segurança Santiago Pontiroli, Gabor Molnar e Kirill Antonenko em um relatório compartilhado com a imprensa.
Inspirado por frameworks populares como Cobalt Strike e Sliver, Chaos RAT fornece um painel administrativo onde usuários podem construir payloads, estabelecer sessões e controlar máquinas comprometidas.
Apesar do trabalho na "ferramenta de administração remota" ter começado lá em 2017, ela não atraiu atenção até dezembro de 2022, quando foi usada em uma campanha maliciosa mirando aplicações web públicas hospedadas em sistemas Linux com o minerador de criptomoedas XMRig.
Uma vez instalado, o malware se conecta a um servidor externo e aguarda comandos que lhe permitam lançar reverse shells, realizar upload/download/deletar arquivos, enumerar arquivos e diretórios, capturar telas, coletar informações do sistema, bloquear/reiniciar/desligar a máquina e abrir URLs arbitrárias.
A última versão do Chaos RAT é a 5.0.3, que foi lançada em 31 de maio de 2024.
A Acronis disse que variantes do Linux do malware desde então foram detectadas no wild, frequentemente em conexão com campanhas de mineração de criptomoedas.
As cadeias de ataque observadas pela companhia mostram que o Chaos RAT é distribuído às vítimas via e-mails de phishing contendo links maliciosos ou anexos.
Esses artefatos são projetados para soltar um script malicioso que pode modificar o agendador de tarefas "/etc/crontab" para buscar periodicamente o malware como uma maneira de configurar persistência.
"Campanhas iniciais usaram esta técnica para entregar mineradores de criptomoedas e o Chaos RAT separadamente, indicando que o Chaos era primariamente empregado para reconhecimento e coleta de informações em dispositivos comprometidos", disseram os pesquisadores.
Uma análise de uma amostra recente enviada ao VirusTotal em janeiro de 2025, da Índia com o nome "NetworkAnalyzer.tar.gz", levantou a possibilidade de que usuários estejam sendo enganados para baixar o malware, mascarando-o como uma utilidade de troubleshooting de rede para ambientes Linux.
Ademais, o painel administrativo que permite aos usuários construir payloads e gerenciar máquinas infectadas foi encontrado como suscetível à uma vulnerabilidade de injeção de comando (
CVE-2024-30850
, pontuação CVSS: 8.8) que poderia ser combinada com uma falha de cross-site scripting (
CVE-2024-31839
, pontuação CVSS: 4.8) para executar código arbitrário no servidor com privilégios elevados.
Ambas as vulnerabilidades já foram endereçadas pelo mantenedor do Chaos RAT a partir de maio de 2024.
Embora atualmente não esteja claro quem está por trás do uso do Chaos RAT em ataques reais, o desenvolvimento, mais uma vez, ilustra como atores de ameaças continuam a armar ferramentas open-source em seu favor e confundir esforços de atribuição.
"O que começa como uma ferramenta de desenvolvedor pode rapidamente se tornar o instrumento de escolha de um ator de ameaça", disseram os pesquisadores.
Utilizar malware publicamente disponível ajuda grupos APT a se misturarem ao ruído do cibercrime cotidiano.
Malware open-source oferece um conjunto de ferramentas 'suficientemente bom' que pode ser rapidamente personalizado e implantado.
Quando múltiplos atores usam o mesmo malware open-source, isso embaralha as águas da atribuição.
A divulgação coincide com o surgimento de uma nova campanha que está mirando usuários do Trust Wallet em desktop com versões falsificadas que são distribuídas via links de download enganosos, e-mails de phishing ou software empacotado com o objetivo de capturar credenciais de navegador, extrair dados de carteiras baseadas em desktop e extensões de navegador, executar comandos e agir como um malware clipper.
"Uma vez instalado, o malware pode vasculhar por arquivos de carteira, interceptar dados da área de transferência ou monitorar sessões de navegador para capturar frases-semente ou chaves privadas", disse o pesquisador Point Wild Kedar S Pandit em um relatório publicado esta semana.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...