ChaosBot: Hackers usam Discord para controlar PCs com novo malware feito em Rust

Pesquisadores revelaram detalhes de uma nova e preocupante ameaça: um backdoor escrito na linguagem de programação Rust, denominado ChaosBot. Este malware confere aos seus operadores a capacidade de realizar reconhecimento de rede e executar comandos arbitrários em sistemas comprometidos, utilizando canais da plataforma Discord para comunicação e controle (C2).

A eSentire, uma empresa de segurança cibernética canadense, detectou o malware pela primeira vez no final de setembro de 2025, no ambiente de um cliente do setor de serviços financeiros. Segundo um relatório técnico publicado pela empresa, os hackers utilizaram credenciais de VPN Cisco e de uma conta Active Directory ("serviceaccount") comprometidas e com privilégios excessivos. Usando essa conta, eles empregaram o WMI (Windows Management Instrumentation) para executar comandos remotos nos sistemas da rede, facilitando a implantação e a execução do ChaosBot.

O que torna o ChaosBot notável é seu método de Comando e Controle (C2), que explora a infraestrutura do Discord. O nome do malware é derivado de um perfil da plataforma mantido pelo hacker por trás da operação, conhecido pelo apelido online "chaos_00019", responsável por emitir instruções remotas para os dispositivos infectados. Outra conta de usuário do Discord, "lovebb0024", também está associada às operações de C2.

Alternativamente, o malware também foi distribuído através de mensagens de phishing que continham um arquivo de atalho malicioso do Windows (.LNK). Se o destinatário abrisse o arquivo LNK, um comando PowerShell era executado para baixar e instalar o ChaosBot.

Para distrair a vítima, um falso PDF, disfarçado de correspondência legítima do Banco Estatal do Vietnã, era exibido simultaneamente.

A payload (carga maliciosa) é uma DLL maliciosa ("msedge_elf.dll") que é carregada lateralmente usando o binário "identity_helper.exe" do Microsoft Edge. Após a execução, o malware realiza um reconhecimento do sistema e instala um proxy reverso rápido (FRP), abrindo um backdoor para manter o acesso persistente à rede comprometida. A função principal do ChaosBot é interagir com um canal específico do Discord (cujo nome é o do computador da vítima) para receber comandos como shell (para comandos PowerShell), scr (para captura de tela), download e upload.

A eSentire também alertou sobre novas variantes do ChaosBot que incorporam técnicas de evasão sofisticadas, como o patching de instruções para contornar o Rastreamento de Eventos para Windows (ETW) e a verificação de prefixos de endereços MAC conhecidos de máquinas virtuais (VMware e VirtualBox). Caso uma VM seja detectada, o malware interrompe sua execução.

Em um desenvolvimento separado, pesquisadores do Fortinet FortiGuard Labs divulgaram uma nova e perigosa variante do ransomware Chaos, reescrita em C++. Este grupo hacker adicionou novos recursos destrutivos que permitem ao malware excluir irrevogavelmente arquivos grandes (maiores que 1,3 GB), em vez de apenas criptografá-los, e um recurso de sequestro de área de transferência.

O malware agora monitora o conteúdo copiado pelo usuário e substitui endereços de Bitcoin válidos por uma carteira controlada pelo invasor, redirecionando quaisquer transferências de criptomoedas feitas pela vítima. Segundo a Fortinet, "Essa estratégia dupla de criptografia destrutiva e roubo financeiro secreto ressalta a transição do Chaos para uma ameaça mais agressiva e multifacetada, projetada para maximizar o ganho financeiro."

O ransomware Chaos-C++ é distribuído sob o disfarce de falsos utilitários de sistema, como o System Optimizer v2.1, ou anteriormente como aplicativos fake do OpenAI ChatGPT e InVideo AI.

Via - THN