Uma nova variante do malware Chaos está ampliando seu alcance e agora passa a explorar ambientes em nuvem mal configurados, indicando uma evolução significativa nas estratégias de ataque. Antes focado principalmente em roteadores e dispositivos de borda, o malware agora mira infraestruturas cloud vulneráveis, aproveitando falhas de configuração para obter acesso inicial e executar código remotamente.

O Chaos foi identificado originalmente em 2022 como um malware multiplataforma capaz de comprometer sistemas Windows e Linux. Desde então, vem sendo utilizado para diversas atividades maliciosas, incluindo execução remota de comandos, mineração de criptomoedas e ataques de negação de serviço (DDoS). Agora, a nova variante reforça a tendência de adaptação dos hackers, acompanhando a migração massiva de empresas para ambientes em nuvem.

A análise mais recente identificou ataques direcionados a uma instância Hadoop deliberadamente vulnerável, utilizada como honeypot. O ataque começa com uma requisição HTTP que cria uma aplicação maliciosa dentro do ambiente comprometido. Em seguida, comandos são executados para baixar o binário do malware a partir de um servidor controlado pelos invasores, conceder permissões amplas ao arquivo e executá-lo, removendo vestígios logo após para dificultar investigações.

Um detalhe relevante é que o domínio utilizado para hospedar o malware já havia sido associado a campanhas anteriores conduzidas por grupos hackers, incluindo operações de phishing que distribuíam malware. Isso indica possível reutilização de infraestrutura e continuidade nas atividades maliciosas.

A nova versão do Chaos também apresenta mudanças estruturais importantes. Funções antigas, como propagação via SSH e exploração de vulnerabilidades em roteadores, foram removidas. Em seu lugar, os hackers introduziram um recurso de proxy SOCKS, permitindo que dispositivos comprometidos sejam usados como intermediários para tráfego malicioso, ocultando a origem real dos ataques.

Essa funcionalidade amplia o potencial de monetização da botnet, permitindo não apenas ataques DDoS ou mineração de criptomoedas, mas também o aluguel de infraestrutura para atividades ilícitas, como anonimização de ataques e distribuição de tráfego malicioso. O movimento reflete uma tendência crescente no cibercrime: transformar botnets em plataformas multifuncionais de serviços ilegais.

O avanço do Chaos reforça um alerta importante para organizações: configurações inadequadas em ambientes cloud continuam sendo uma das principais portas de entrada para ataques. A evolução constante desse tipo de malware demonstra que os hackers estão cada vez mais focados em maximizar o retorno financeiro e diversificar suas operações.