Pesquisadores em cibersegurança revelaram detalhes sobre um novo backdoor escrito em Rust, chamado ChaosBot, capaz de realizar reconhecimento e executar comandos arbitrários em máquinas comprometidas.
Segundo relatório técnico da eSentire divulgado na última semana, "os agentes maliciosos utilizaram credenciais comprometidas vinculadas tanto à VPN da Cisco quanto a uma conta Active Directory com privilégios elevados, denominada ‘serviceaccount’." Com essa conta, exploraram o WMI para executar comandos remotamente em diversos sistemas da rede, facilitando a implantação do ChaosBot.
A empresa canadense detectou o malware pela primeira vez no final de setembro de 2025, em ambiente de um cliente do setor financeiro.
Uma característica marcante do ChaosBot é o uso abusivo do Discord para operações de comando e controle (C2).
O nome do malware é uma referência ao perfil no Discord mantido pelo operador, conhecido online como “chaos_00019”, que emite comandos remotos aos dispositivos infectados.
Um segundo usuário, “lovebb0024”, também atua nas operações de C2.
Além disso, a propagação do ChaosBot ocorre por meio de phishing, com mensagens que incluem um arquivo malicioso no formato de atalho do Windows (LNK).
Ao abrir esse arquivo, um comando PowerShell é executado para baixar e rodar o malware, enquanto um PDF falso — simulando uma correspondência legítima do Banco Estatal do Vietnã — é exibido para despistar o usuário.
O payload é uma DLL maliciosa chamada “msedge_elf.dll”, carregada via sideloading pelo executável do Microsoft Edge “identity_helper.exe”.
Após o carregamento, o malware realiza reconhecimento do sistema e baixa um proxy reverso rápido (fast reverse proxy - FRP) para estabelecer uma conexão persistente e manter o acesso remoto à rede comprometida.
Os invasores tentaram ainda, sem sucesso, usar o malware para configurar um serviço Visual Studio Code Tunnel como backdoor adicional para execução de comandos.
A principal função do ChaosBot, contudo, é interagir com um canal do Discord criado pelo operador, usando o nome do computador infectado para receber novas instruções.
Entre os comandos suportados estão:
- shell: execução de comandos via PowerShell
- scr: captura de telas (screenshots)
- download: baixar arquivos para o dispositivo infectado
- upload: enviar arquivos para o canal do Discord
Novas versões do ChaosBot aplicam técnicas de evasão para driblar o Event Tracing for Windows (ETW) e máquinas virtuais.
A eSentire explica: “A primeira técnica consiste em modificar as primeiras instruções da função ntdll!EtwEventWrite (xor eax, eax → ret).
A segunda verifica os endereços MAC do sistema contra prefixos conhecidos de máquinas virtuais VMware e VirtualBox; se houver correspondência, o malware encerra sua execução.”
Além disso, a Fortinet FortiGuard Labs divulgou um novo ransomware da família Chaos, desenvolvido em C++, que traz funcionalidades inéditas.
O malware agora pode deletar definitivamente arquivos grandes em vez de apenas criptografá-los, e também age sobre o clipboard (área de transferência) para substituir endereços Bitcoin por carteiras controladas pelos invasores, desviando transferências de criptomoedas.
“A estratégia dupla de destruição de arquivos e roubo financeiro evidencia a evolução do Chaos para uma ameaça mais agressiva e multifacetada, focada em maximizar ganhos financeiros”, afirmou a Fortinet.
Ao combinar técnicas de extorsão destrutiva e sequestro da área de transferência, os atacantes transformam o Chaos-C++ em uma ferramenta poderosa.
O malware criptografa arquivos menores que 50 MB, deleta qualquer arquivo acima de 1,3 GB e facilita fraudes financeiras.
O downloader do ransomware se disfarça de utilitários falsos, como “System Optimizer v2.1”, para enganar usuários.
Vale lembrar que versões anteriores do Chaos, como o Lucky_Gh0$t, foram divulgadas como ferramentas legítimas — por exemplo, imitando o OpenAI ChatGPT ou o InVideo AI.
Ao ser executado, o malware verifica se o arquivo "%APPDATA%\READ_IT.txt" existe.
Caso positivo, indica que o computador já foi infectado, e o malware entra em modo de monitoramento da área de transferência.
Caso contrário, verifica permissões administrativas e, se com privilégios elevados, executa comandos para bloquear a recuperação do sistema antes de iniciar a criptografia.
O processo de encriptação altera arquivos com menos de 50 MB, ignorando os que estão entre 50 MB e 1,3 GB, provavelmente para otimizar a operação.
“O Chaos-C++ não depende apenas da criptografia total de arquivos, utilizando também métodos simétricos, assimétricos e uma rotina XOR como alternativas.
Seu downloader versátil garante que o ransomware seja executado com sucesso, tornando sua ação mais resistente e difícil de interromper”, explica a Fortinet.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...