Los cazadores de amenazas están dirigiendo su atención a una nueva variante del Troya de acceso remoto (rata), llamado RAT CHAOS, que se ha utilizado en ataques recientes dirigidos a los sistemas de Windows y Linux.
Según los hallazgos de la investigación de Acronis, los artefactos de malware pueden haber sido distribuidos por víctimas de Tracing para descargar la utilidad de solución de problemas de red en entornos de Linux.
«Chaos Rat es una rata de código abierto escrita en Golang y proporciona soporte multiplataforma tanto para los sistemas de Windows como para los sistemas de Linux», dijeron los investigadores de seguridad Santiago Pontiroli, Gabor Molnar y Kirill Antonenko en un informe compartido con Hacker News.
«Inspirado en marcos populares como Cobalt Strike y Sliver, Chaos Rat ofrece un panel de administración que permite a los usuarios construir cargas útiles, establecer sesiones y controlar máquinas comprometidas».
El trabajo en la «herramienta de gestión remota» comenzó en 2017, pero no llamó la atención hasta diciembre de 2022, cuando se usó en campañas maliciosas dirigidas a aplicaciones web públicas alojadas en sistemas Linux utilizando XMRIG Miner de criptomonedas.
Una vez que se instala la instalación, el malware se conectará a un servidor externo, iniciará un shell inverso, cargar/descargar/eliminar archivos y deleciones, enumerar archivos y directorios, tomar capturas de pantalla, recopilar información del sistema, bloquear/reiniciar/cerrar la máquina y esperar comandos que puedan abrir cualquier URL. La última versión de Chaos Rat es 5.0.3 y se lanzó el 31 de mayo de 2024.
Acronis dijo que las variantes de malware de Linux a menudo se detectan en la naturaleza, en relación con las campañas mineras de criptomonedas. La cadena de ataque observada por la compañía indica que el caos LAT se distribuye a las víctimas a través de correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos.
Estos artefactos están diseñados para permitirle recuperar regularmente el malware como una forma de configurar la persistencia eliminando scripts maliciosos que pueden modificar el programador de tareas «/etc/crontab».
«Las primeras campañas utilizaron esta técnica para proporcionar mineros de criptomonedas y ratas de caos individualmente, lo que indica que el caos fue adoptado principalmente para el reconocimiento y la recopilación de inteligencia en dispositivos comprometidos», dijeron los investigadores.
Un análisis de una muestra reciente cargada de India a Virustotal en enero de 2025 de India llamada «NetworkAnalyzer.tar.gz» ha aumentado la probabilidad de que los usuarios estén engañados por descargas de malware al disfrazarse como una resolución de problemas de red en entornos de Linux.
Además, se sabe que los paneles de administración que permiten a los usuarios construir cargas útiles para administrar máquinas infectadas son susceptibles a las vulnerabilidades de inyección de comandos (CVE-2024-30850, puntaje CVSS: 8.8) que se pueden combinar con fallas de secuencias de comandos de sitios (CVE-2024-31839, puntaje CVSS: 4.8). Desde entonces, ambas vulnerabilidades han sido abordadas por los mantenedores de ratas Chaos a partir de mayo de 2024.
Si bien no está claro quién está detrás del uso de Caos Lats en los ataques del mundo real en la actualidad, este desarrollo una vez más muestra cómo los actores de amenaza pueden armarse las herramientas de código abierto en su ventaja y continuar interrumpiendo los esfuerzos de atribución.
«Lo que comienza como herramienta de desarrollador puede convertirse rápidamente en un medio para seleccionar actores de amenaza», dijeron los investigadores. «Con el malware disponible públicamente, los grupos APT se mezclan con el ruido del delito cibernético cotidiano. El malware de código abierto ofrece un juego de herramientas ‘suficiente’ que se puede personalizar y implementar rápidamente. Múltiples actores usan el mismo malware de código abierto, confunde el agua de la atribución».
Esta divulgación coincide con la aparición de nuevas campañas que se dirigen a los usuarios de billeteras de confianza en los escritorios a través de un paquete de software destinado a dirigir a los usuarios de billeteras de confianza en los escritorios, a través de enlaces de carga hacia abajo, correos electrónicos de phishing o derechos de navegador, extraer datos de billeteras basadas en escritorio, extracto de extensiones de navegador, instrucciones de ejecución y actuar como malware Clipper.
«Cuando se instala, el malware puede escanear archivos de billetera, interceptar datos de portapapeles y monitorear las sesiones de navegador capturando frases de semillas y claves privadas», dijo el investigador de Point Wild Kedar S Pandit en un informe publicado esta semana.
Source link
