⚡ Não perca: notícia importante no ar! ⚡

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de um novo backdoor baseado em Rust chamado ChaosBot, que pode permitir que operadores realizem reconhecimento e executem comandos arbitrários em hosts comprometidos.

“Os atores da ameaça aproveitaram credenciais comprometidas mapeadas tanto para a Cisco VPN quanto para uma conta do Active Directory com privilégios excessivos chamada ‘serviceaccount’”, disse a eSentire em um relatório técnico publicado na semana passada. “Usando a conta comprometida, eles aproveitaram o WMI para executar comandos remotos em sistemas da rede, facilitando a implantação e execução do ChaosBot.”

A empresa canadense de segurança cibernética disse que detectou o malware pela primeira vez no final de setembro de 2025 no ambiente de um cliente de serviços financeiros.

ChaosBot é notável por abusar do Discord para comando e controle (C2). Seu nome vem de um perfil do Discord mantido pelo agente da ameaça por trás dele, que atende pelo apelido online “chaos_00019” e é responsável por emitir comandos remotos para os dispositivos infectados. Uma segunda conta de usuário Discord associada às operações C2 é lovebb0024.

Alternativamente, o malware também foi observado contando com mensagens de phishing contendo um arquivo malicioso de atalho do Windows (LNK) como vetor de distribuição. Caso o destinatário da mensagem abra o arquivo LNK, um comando do PowerShell é executado para baixar e executar o ChaosBot, enquanto um PDF falso disfarçado de correspondência legítima do Banco do Estado do Vietnã é exibido como um mecanismo de distração.

A carga útil é uma DLL maliciosa ("msedge_elf.dll") que é carregada usando o binário do Microsoft Edge chamado "identity_helper.exe", após o qual ele executa o reconhecimento do sistema e baixa um proxy reverso rápido (FRP) para abrir um proxy reverso na rede e manter acesso persistente à rede comprometida.

Descobriu-se também que os agentes da ameaça aproveitam o malware para configurar sem sucesso um serviço Visual Studio Code Tunnel para atuar como um backdoor adicional para habilitar recursos de execução de comandos. A principal função do malware, porém, é interagir com um canal Discord criado pela operadora com o nome do computador da vítima para receber mais instruções.

Alguns dos comandos suportados estão listados abaixo -

shell, para executar comandos shell via PowerShell

scr, para capturar capturas de tela

download, para baixar arquivos para o dispositivo da vítima

upload, para enviar um arquivo para o canal Discord

“Novas variantes do ChaosBot fazem uso de técnicas de evasão para contornar o ETW [Event Tracing for Windows] e máquinas virtuais”, disse eSentire.

"A primeira técnica envolve corrigir as primeiras instruções de ntdll! EtwEventWrite (xor eax, eax -> ret). A segunda técnica verifica os endereços MAC do sistema em relação aos prefixos de endereços MAC da máquina virtual conhecidos para VMware e VirtualBox. Se uma correspondência for encontrada, o malware sai. "

Chaos Ransomware ganha recursos destrutivos e de sequestro de área de transferência

A divulgação vem do Fortinet FortiGuard Labs detalhou uma nova variante de ransomware do Chaos escrita em C++ que introduz novos recursos destrutivos para excluir irrevogavelmente arquivos grandes em vez de criptografá-los e manipular o conteúdo da área de transferência trocando endereços Bitcoin com uma carteira controlada pelo invasor para redirecionar transferências de criptomoedas.

“Essa estratégia dupla de criptografia destrutiva e roubo financeiro encoberto ressalta a transição do Caos para uma ameaça mais agressiva e multifacetada, projetada para maximizar o ganho financeiro”, disse a empresa.

Ao incorporar táticas destrutivas de extorsão e sequestro de área de transferência para roubo de criptomoedas, os invasores pretendem posicionar o ransomware Chaos-C++ como uma ferramenta potente que pode não apenas criptografar arquivos, mas também excluir o conteúdo de qualquer arquivo maior que 1,3 GB e facilitar fraudes financeiras.

O downloader de ransomware Chaos-C++ se apresenta como utilitários falsos, como o System Optimizer v2.1, para induzir os usuários a instalá-los. Vale a pena mencionar aqui que as iterações anteriores do ransomware Chaos, como Lucky_Gh0$t, foram distribuídas sob o disfarce de OpenAI ChatGPT e InVideo AI.

Uma vez iniciado, o malware verifica a presença de um arquivo chamado “%APPDATA%\READ_IT.txt”, que sinaliza que o ransomware já foi executado na máquina. Se o arquivo existir, ele entra no que é chamado de modo de monitoramento para manter o controle na área de transferência do sistema.

Caso o arquivo não esteja presente, Chaos-C++ verifica se ele está sendo executado com privilégios administrativos e, em caso afirmativo, executa uma série de comandos para inibir a recuperação do sistema e, em seguida, inicia o processo de criptografia para criptografar totalmente os arquivos abaixo de 50 MB, ignorando aqueles com tamanho de arquivo entre 50 MB e 1,3 GB, provavelmente por razões de eficiência.

"Em vez de depender apenas da criptografia completa de arquivos, o Chaos-C++ emprega uma combinação de métodos, incluindo criptografia simétrica ou assimétrica e um fallbac
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #novo #malware #baseado #em #ferrugem #“chaosbot” #usa #canais #de #discórdia #para #controlar #os #pcs #das #vítimas
🚀 Mais conteúdos incríveis estão por vir, fique atento!

Post a Comment