Investigadores han detectado el malware ChaosBot, un nuevo backdoor escrito en Rust que utiliza canales de Discord como su infraestructura de Comando y Control (C2). El actor detrás de este malware ha explotado credenciales comprometidas (incluyendo acceso VPN y una cuenta Active Directory sobre-privilegiada) para infiltrarse en redes del sector financiero. Con la evolución del ransomware vinculado a esta familia (Chaos-C++), la operación combina backdoors resilientes con extorsión financiera agresiva, incluyendo el hijacking del portapapeles para robar transferencias de criptodivisas.
Funcionamiento y Tácticas de Evasión de ChaosBot
ChaosBot se distingue por su uso de servicios legítimos y técnicas de sideloading para asegurar la persistencia y evadir la detección.
Cadena de Infección
- Vector de Entrada (.LNK): El ataque comienza con campañas de phishing que entregan archivos de acceso directo (.LNK). Al abrirse, el acceso directo ejecuta un comando PowerShell que descarga e instala el backdoor, a menudo usando un señuelo como un PDF falso.
- Sideloading y Persistencia: El payload principal es una DLL maliciosa (msedge_elf.dll). Esta DLL se implanta (sideloading) utilizando un ejecutable legítimo renombrado de Microsoft Edge (identity_helper.exe), lo que facilita la ejecución sin levantar alertas.
- Acceso Persistente: ChaosBot realiza reconocimiento del sistema y despliega un Fast Reverse Proxy (FRP), creando un túnel para puentear hacia el interior de la red y mantener un acceso persistente.
Comando y Control (C2) por Discord
La característica más notoria es el uso de Discord.
- ChaosBot utiliza tokens incrustados para conectarse a la API de Discord.
- Crea canales de Discord con el hostname de cada víctima como nombre.
- Los operadores (con aliases como chaos_00019 y lovebb0024) lanzan comandos (shell, download, screenshot) y reciben las salidas y ficheros directamente en el canal de la víctima.
Evasión Avanzada
- Neutralización de ETW: Nuevas variantes parchean ntdll!EtwEventWrite en memoria para neutralizar Event Tracing for Windows (ETW), una de las principales herramientas de telemetría de seguridad.
- Anti-VM/Sandbox: El malware detecta direcciones MAC de máquinas virtuales para salir si está en un entorno de análisis.
Implicaciones de Riesgo y Daño Potencial
La operación Chaos representa una alta resiliencia operativa y un riesgo financiero extremo para las organizaciones.
- Resiliencia del C2: El uso de servicios legítimos (Discord, GitHub/FRP como fallbacks) hace que las tácticas tradicionales de derribo de infraestructura C2 sean menos efectivas.
- Ataque Dirigido: El uso de credenciales y cuentas VPN/AD comprometidas permite al actor realizar un despliegue masivo y sigiloso con un profundo movimiento lateral.
- Riesgo Financiero Agresivo: La evolución del ransomware Chaos-C++ incorpora capacidades destructivas (borrado de grandes archivos) y el hijacking del portapapeles para cambiar direcciones de billeteras de criptodivisas, maximizando el daño económico.
Recomendaciones
- Bloquear y Monitorear Discord: Aplicar reglas de proxy/DNS que impidan que máquinas de servidor/estaciones no aprobadas alcancen la API de Discord o CDN de Discord. Monitorear excepciones.
- Detectar y Bloquear DLL Sideloading: Reforzar políticas AppLocker/WDAC para bloquear ejecuciones desde rutas no habituales y evitar el uso no autorizado de binarios legítimos renombrados (identity_helper.exe).
- Hunt por Indicadores: Buscar hosts que ejecuten mshta o PowerShell tras la apertura de un .LNK, la presencia de msedge_elf.dll, y conexiones a FRP o IPs de túneles conocidos (ej., 18.162.110.113).
- Rotar Credenciales: Forzar la rotación inmediata de credenciales de cuentas sobre-privilegiadas (como service accounts) y revisar logs de VPN en busca de accesos sospechosos.
Detección Práctica (EDR/SIEM)
- DLL Sideloading: Crear una regla EDR: alerta crítica si el proceso msedge_elf.dll es cargado por identity_helper.exe.
- Evasión de ETW: Detección de tampering de ETW (parcheo de ntdll!EtwEventWrite) en memoria.
- Actividad Discord: En el SIEM, buscar conexiones TLS/TCP hacia discord.com/api o cdn.discordapp.com desde hosts que no deberían usar Discord en el horario laboral.
