Pesquisadores da Picus Security e da eSentire divulgaram detalhes sobre uma nova ameaça avançada chamada ChaosBot, um malware baseado em Rust que utiliza a plataforma Discord para estabelecer um canal discreto de comando e controle (C2). Essa estratégia permite ocultar o tráfego malicioso entre comunicações de um serviço legítimo, dificultando a detecção por ferramentas de segurança tradicionais.
Vetores de infecção e persistência
A cadeia de infecção do ChaosBot começa com credenciais VPN comprometidas ou campanhas de phishing que distribuem arquivos maliciosos .LNK. Uma vez executado, o malware valida um token de bot do Discord e cria um canal privado nomeado conforme o computador da vítima. Esse canal passa a servir como shell interativo, onde os operadores podem enviar comandos como concha, download e scr (captura de tela) e receba resultados e arquivos diretamente via API do Discord.
O malware foi distribuído em ataques direcionados a setores financeiros e corporativos, com algumas infecções originadas de credenciais relacionadas a Cisco VPN e contas privilegiadas do Active Directory, permitindo transferências laterais por WMI (Windows Management Instrumentation) e execução remota em vários sistemas.
Técnicas de evasão e detecção
Para evitar análise e detecção, o ChaosBot executa patches na função Windows Event Tracing (ETW), o que cega soluções de segurança básicas em monitoramento de eventos. O código também realiza verificações de endereço MAC contra acontecimentos conhecidos de VMware e VirtualBox, detectando ambientes de sandbox e encerrando automaticamente a execução para evitar captura por analistas.
Infraestrutura Discord como canal de C2
A comunicação do ChaosBot é construída sobre a API oficial do Discord com requisições HTTPS autenticadas, tornando o tráfego praticamente idêntico aos usuários normais da plataforma.
- O primeiro pedido do malware é um GET para validar o bot (
/api/v10/users/@me), seguido de um POST que cria um canal exclusivo no servidor do invasor. - Cada canal é associado a uma máquina comprometida, permitindo controle granular e simultâneo de várias vítimas.
- Os dados são exfiltrados no formato multipart/form-data, e os operadores mantêm a comunicação contínua utilizando polling de mensagens em loop.
Curiosamente, o canal geral usado pelos grupos associados ao ChaosBot carrega o nome 常规 (“regular”, em chinês), baixa possível operação de atores que utilizam a versão chinesa do Discord.
Mitigações recomendadas
Especialistas recomendam monitorar o tráfego HTTPS do Discord em redes corporativas e implementar inspeção profunda de pacotes (DPI) para detectar comunicações anômalas. Também é indicado:
- Reforçar autenticações VPN e revisar logs de tokens comprometidos.
- Bloquear a execução de arquivos LNK externos e ativar restrições no PowerShell.
- soluções Aplicar EDR que detectem modificações em ETW e atividades de codificação/decodificação UTF-8.
A combinação do uso de Ferrugemoferecido ofuscada e infraestrutura de C2 disfarçada em plataformas legítimas faz do ChaosBot um exemplo de como os crimes estão aproveitando ecossistemas populares como o Discord para conduzir ataques sofisticados e silenciosos.
