Los cazadores de amenazas están llamando la atención sobre una nueva variable de un troyano de entrada remoto (rata) llamado Rata de caos Eso se ha utilizado en ataques recientes dirigidos a los sistemas de Windows y Linux.
Según los hallazgos de Acronis, el artefacto de malware puede haberse distribuido engañando a las víctimas para descargar una utilidad de decisión de problemas de red para entornos de Linux.
“Chaos Rat es una rata de código libre escrita en Golang, que ofrece soporte multiplataforma tanto para los sistemas de Windows como para los sistemas de Linux”, dijeron los investigadores de seguridad Santiago Pontiroli, Gabor Molnar y Kirill Antonenko en un documentación compartido con The Hacker News.
“Inspirado en marcos populares como Cobalt Strike y Sliver, Chaos Rat proporciona un panel funcionario donde los usuarios pueden construir cargas bártulos, establecer sesiones y controlar máquinas comprometidas”.
Si correctamente el trabajo en la “útil de empresa remota” comenzó en 2017, no llamó la atención hasta diciembre de 2022, cuando se usó en una campaña maliciosa dirigida a aplicaciones web públicas alojadas en sistemas Linux con el minero de criptomonedas XMRIG.
Una vez instalado, el malware se conecta a un servidor foráneo y retraso comandos que le permitan iniciar shells inverso, cargar/descargar/eliminar archivos, enumerar archivos y directorios, tomar capturas de pantalla, compilar información del sistema, cercar/reiniciar/cerrar la máquina y aclarar URL arbitrarias. La última interpretación de Chaos Rat es 5.0.3, que se lanzó el 31 de mayo de 2024.
Acronis dijo que las variantes de Linux del malware se han detectado en la naturaleza, a menudo en relación con las campañas mineras de criptomonedas. Las cadenas de ataque observadas por la compañía muestran que Chaos Rat se distribuye a las víctimas a través de correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos.
Estos artefactos están diseñados para soltar un script zorro que puede modificar el programador de tareas “/etc/crontab” para obtener el malware periódicamente como una forma de establecer persistencia.
“Las primeras campañas utilizaron esta técnica para entregar mineros de criptomonedas y ratas del caos por separado, lo que indica que el caos se empleó principalmente para el examen y la resumen de información en dispositivos comprometidos”, dijeron los investigadores.
Un exploración de una muestra fresco cargada a Virustotal en enero de 2025 desde la India con el nombre “NetworkAnalyzer.tar.gz”, ha aumentado la posibilidad de que los usuarios se engañen para descargar el malware enmascarándolo como una utilidad de resolución de problemas de red para entornos de Linux.
Encima, se ha antagónico que el panel de empresa que permite a los usuarios construir cargas bártulos y regir máquinas infectadas es susceptible a una vulnerabilidad de inyección de comandos (CVE-2024-30850, puntaje CVSS: 8.8) que podría combinarse con un defecto de secuestro de sitios cruzados (CVE-2024-31839, puntaje CVSS: 4.8) para ejecutar el código de secuestro de sitios de sitios de situaciones. Ambas vulnerabilidades han sido abordadas por el mantenedor de Chaos Rat a partir de mayo de 2024.
Si correctamente actualmente no está claro quién está detrás del uso de la rata Chaos en ataques del mundo verdadero, el ampliación una vez más ilustra cómo los actores de amenaza continúan armando las herramientas de código libre para su preeminencia y confunden los esfuerzos de atribución.
“Lo que comienza como útil de desarrollador puede convertirse rápidamente en un aparato de amenaza del actor estimado”, dijeron los investigadores. “El uso de malware acondicionado públicamente ayuda a los grupos APT a combinarse con el ruido del delito cibernético corriente. El malware de código libre ofrece un surtido de herramientas ‘lo suficientemente bueno’ que se puede personalizar y implementar rápidamente. Cuando múltiples actores usan el mismo malware de código libre, confunde las aguas de la atribución”.
La divulgación coincide con el surgimiento de una nueva campaña que se dirige a los usuarios de billeteras de confianza en el escritorio con versiones falsificadas que se distribuyen a través de enlaces de descarga engañosos, correos electrónicos de phishing o software agrupado con el objetivo de cosechar credenciales de navegador, extraer datos de las billeteras basadas en el escritorio y las extensiones de billeteras y las extensiones de navegador, la ejecución de comandos y llevar a cabo como malware.
“Una vez instalado, el malware puede escanear archivos de billetera, interceptar datos de portapapeles o monitorear sesiones de navegador para capturar frases de semillas o claves privadas”, dijo el investigador de Point Wild Kedar S Pandit en un documentación publicado esta semana.
