Investigadores de ciberseguridad han revelado detalles de una nueva puerta trasera basada en Rust llamada ChaosBot. Esto permite a los operadores realizar reconocimientos y ejecutar comandos arbitrarios en hosts comprometidos.
«Los actores de amenazas explotaron las credenciales comprometidas asignadas tanto a Cisco VPN como a una cuenta de Active Directory con privilegios excesivos llamada ‘cuenta de servicio'», dijo eSentire en un informe técnico publicado la semana pasada. «Las cuentas comprometidas se utilizaron para aprovechar WMI para ejecutar comandos remotos en todos los sistemas dentro de la red, facilitando la implementación y ejecución de ChaosBot».
La empresa canadiense de ciberseguridad dijo que detectó por primera vez el malware en el entorno de un cliente de servicios financieros a finales de septiembre de 2025.
ChaosBot se destaca por su abuso de Discord para comando y control (C2). El nombre proviene de un perfil de Discord administrado por el atacante detrás del nombre en línea «chaos_00019», que es responsable de emitir comandos remotos a los dispositivos infectados. La segunda cuenta de usuario de Discord asociada con las operaciones C2 es lovebb0024.
Alternativamente, se ha observado que este malware depende de mensajes de phishing que incluyen archivos maliciosos de acceso directo de Windows (LNK) como vectores de distribución. Cuando el destinatario del mensaje abre el archivo LNK, se ejecuta un comando de PowerShell para descargar y ejecutar ChaosBot, que luego muestra un PDF señuelo disfrazado de una comunicación legítima del Banco Estatal de Vietnam como mecanismo de distracción.
La carga útil es una DLL maliciosa (‘msedge_elf.dll’) que se descarga utilizando un binario de Microsoft Edge llamado ‘identity_helper.exe’. Luego realiza un reconocimiento del sistema, descarga Fast Reverse Proxy (FRP) y abre un proxy inverso a su red para mantener el acceso permanente a la red comprometida.
También se descubrió que los atacantes habían utilizado este malware para configurar sin éxito el servicio de túnel Visual Studio Code, que actúa como una puerta trasera adicional para habilitar las capacidades de ejecución de comandos. Sin embargo, la función principal del malware es comunicarse con un canal de Discord creado por el operador utilizando el nombre de la computadora de la víctima para recibir más instrucciones.
Algunos de los comandos admitidos se enumeran a continuación.
Shell, ejecutar comandos de shell a través de PowerShell scr, capturar capturas de pantalla Descargar, descargar archivos al dispositivo de la víctima Cargar, cargar archivos a un canal de Discord
«Las nuevas variantes de ChaosBot utilizan técnicas de evasión para evitar ETW (Windows Event Tracing) y las máquinas virtuales», dijo eSentire.
«La primera técnica parchea las primeras instrucciones de ntdll!EtwEventWrite (xor eax, eax -> ret). La segunda técnica hace coincidir la dirección MAC del sistema con prefijos de direcciones MAC de máquinas virtuales conocidas en VMware y VirtualBox. Si se encuentra una coincidencia, el malware sale».
Chaos ransomware obtiene capacidades destructivas de secuestro del portapapeles
Con esta divulgación, Fortinet FortiGuard Labs detalló una nueva variante del ransomware Chaos escrita en C++. El ransomware introduce nuevas capacidades destructivas que eliminan irrevocablemente archivos grandes en lugar de cifrarlos y manipula el contenido del portapapeles intercambiando direcciones de Bitcoin con billeteras controladas por atacantes y redirigiendo transferencias de criptomonedas.
«La estrategia dual de cifrado destructivo y robo financiero encubierto destaca la transición del Caos a una amenaza más agresiva y multifacética destinada a maximizar las ganancias financieras», dijo la compañía.
Al incorporar tácticas destructivas de extorsión y secuestro de portapapeles en el robo de criptomonedas, los atacantes pretenden posicionar al ransomware Chaos-C++ como una poderosa herramienta que no solo puede cifrar archivos, sino también eliminar contenidos de archivos de más de 1,3 GB para facilitar el fraude financiero.
El descargador de ransomware Chaos-C++ se disfraza de una utilidad falsa como System Optimizer v2.1 para engañar a los usuarios para que lo instalen. Vale la pena mencionar aquí que las versiones anteriores del ransomware Chaos, como Lucky_Gh0$t, se distribuyeron bajo la apariencia de OpenAI ChatGPT e InVideo AI.
Una vez iniciado, el malware busca la presencia de un archivo llamado «%APPDATA%\READ_IT.txt». Esto indica que ya se está ejecutando ransomware en su máquina. Si el archivo existe, ingresa al llamado modo de vigilancia y mantiene una pestaña en el portapapeles del sistema.
Si el archivo no existe, Chaos-C++ comprueba si se está ejecutando en modo elevado y, de ser así, procede a ejecutar una serie de comandos que impiden la recuperación del sistema e inicia un proceso de cifrado para cifrar completamente archivos de menos de 50 MB. Por otro lado, omitirá archivos de entre 50 MB y 1,3 GB de tamaño, probablemente por razones de eficiencia.
«En lugar de depender únicamente del cifrado completo de archivos, Chaos-C++ emplea una combinación de métodos, incluido el cifrado simétrico o asimétrico y rutinas XOR alternativas», dijo Fortinet. «Un programa de descarga versátil también garantiza una ejecución exitosa. La combinación de estos enfoques hace que la ejecución del ransomware sea más sólida y tenga menos probabilidades de ser interrumpida».
Source link
