Um novo malware batizado de ChaosBot está sendo usado em ataques sofisticados contra empresas de serviços financeiros e corporações globais, combinando engenharia social, automação e uso de plataformas legítimas para se infiltrar em redes corporativas. Desenvolvido em Rust, o código é altamente furtivo e se comunica com seus operadores por meio do Discord, aplicativo amplamente utilizado em comunidades online.
A ameaça foi descoberta pela empresa de segurança eSentire, que identificou o uso de canais privados do Discord como centro de comando e controle. Cada computador infectado cria um canal exclusivo, onde os atacantes podem executar comandos, transferir arquivos e capturar telas em tempo real, usando a própria estrutura da plataforma como meio de comunicação. Os ataques começam com mensagens de phishing que simulam documentos corporativos, como um suposto relatório do Banco do Estado do Vietnã. O arquivo, no formato .LNK, aciona um script PowerShell que baixa o ChaosBot e exibe um PDF falso para disfarçar a infecção. Em outras campanhas, os invasores exploraram credenciais de VPN Cisco e do Active Directory, permitindo movimentação lateral dentro da rede sem acionar alertas de segurança. Após a execução, o malware carrega uma biblioteca DLL maliciosa denominada msedge_elf.dll, executada por um binário legítimo do Microsoft Edge (identity_helper.exe).
Essa técnica, conhecida como DLL side-loading, é usada para mascarar a atividade maliciosa e evitar detecção por antivírus. Uma vez instalado, o ChaosBot coleta informações do sistema, cria um proxy reverso persistente e aguarda comandos dos operadores. Ele pode baixar e enviar arquivos, executar processos remotamente, realizar capturas de tela e até interromper serviços de segurança, garantindo acesso contínuo à rede. O malware também apresenta mecanismos de evasão avançados, como desativação do rastreamento de eventos do Windows (ETW) e verificação de endereços MAC para identificar máquinas virtuais usadas em ambientes de análise. Caso detecte monitoramento, o ChaosBot interrompe sua execução para evitar detecção.
