ChaosBot: novo backdoor em Rust usa Discord para controlar computadores

Camila Figueiredo

Pesquisadores de segurança identificaram uma nova ameaça chamada ChaosBot — um backdoor escrito em Rust que utiliza canais do Discord como infraestrutura de Comando e Controle (C2). Identificado pela eSentire no final de setembro de 2025 em um cliente do setor financeiro, o ChaosBot demonstra técnicas modernas de distribuição, persistência e evasão. Neste post você vai encontrar uma explicação clara do funcionamento do malware, sinais de comprometimento (IOCs) e um plano prático de mitigação para equipes de segurança e administradores de sistemas.

O que é o ChaosBot e como ele atua

ChaosBot é um backdoor que permite aos atacantes:

  • Realizar reconhecimento de rede e do sistema vítima.
  • Executar comandos arbitrários (PowerShell e shell).
  • Transferir arquivos (download/upload) e capturar telas.
  • Manter persistência usando uma DLL maliciosa carregada lateralmente e um proxy reverso (FRP).

Vetores de ataque observados

  • Credenciais roubadas: uso de credenciais de VPN Cisco e de uma conta de Active Directory com privilégios excessivos para propagação.
  • Phishing com .LNK: mensagens com atalho do Windows (.LNK) que executam um comando PowerShell para baixar o malware.
  • Engano visual: o atacante exibe um falso PDF (ex.: suposta comunicação bancária) para distrair a vítima ao abrir o atalho.

Infraestrutura de C2

O diferencial técnico do ChaosBot é usar contas e canais do Discord para enviar e receber comandos. Contas atribuídas aos operadores (por exemplo, apelidos como chaos_00019 e lovebb0024) foram usadas para controlar remotamente as máquinas infectadas.

Técnicas de evasão e persistência

Pesquisadores relataram variantes que:

  • Patcham instruções para contornar o Event Tracing for Windows (ETW).
  • Verificam prefixes de MAC para detectar ambientes virtuais (VMware, VirtualBox) e abortam se uma VM for encontrada.
  • Carregam a payload por side-loading (ex.: msedge_elf.dll via identity_helper.exe do Microsoft Edge) e instalam um proxy reverso (FRP) para manter acesso.

Ransomware relacionado: Chaos-C++ (contexto)

Em paralelo, foi divulgada uma variante do ransomware Chaos reescrita em C++ (Chaos-C++) com funcionalidades mais agressivas: exclusão permanente de arquivos grandes (>1,3 GB) e substituição de endereços Bitcoin na área de transferência por carteiras dos atacantes — combinando destruição de dados e roubo financeiro.

Indicadores de Comprometimento (IOCs) — o que monitorar

Observações baseadas no caso investigado; adapte ao seu ambiente.

  • Conexões de rede atípicas para APIs ou endpoints do Discord originando de estações de trabalho/servidores.
  • Processos invocando identity_helper.exe seguido de carregamento de DLLs incomuns (ex.: msedge_elf.dll).
  • Atividades WMI executadas por contas de serviço com privilégios estranhos.
  • Tráfego de FRP (proxy reverso) ou conexões persistentes em portas não usuais.
  • Arquivos .LNK recebidos por e-mail ou em anexos com comandos PowerShell embutidos.
  • Substituições na área de transferência (monitorar alterações de endereços de criptomoeda pode ser tática defensiva).

Plano prático de mitigação (passo a passo)

  1. Isolamento imediato: ao detectar IOCs, isole a máquina da rede e preserve logs e memória para investigação.
  2. Revisão de credenciais e privilégios: force reset de credenciais VPN/AD comprometidas e aplique princípio do menor privilégio em todas as contas de serviço.
  3. Bloqueios de rede: restringir tráfego para e a partir de servidores Discord em redes corporativas sensíveis, quando aplicável, e monitorar anomalias de DNS.
  4. Detectar e bloquear .LNK maliciosos: configurar filtros de e-mail, bloquear execução de atalhos em locais não confiáveis e desabilitar execução automática de PowerShell a partir de anexos.
  5. Endurecer WMI e comandos remotos: aplicar controles de autenticação e logging extensivo ao WMI, e limitar o uso a administradores.
  6. Monitoramento de integridade: usar EDR/NDR com assinaturas comportamentais para detectar side-loading, injeção de DLL e persistência via FRP.
  7. Atualizações e proteção em camadas: manter sistemas e navegadores atualizados; aplicar políticas de aplicação que previnam side-loading de DLLs por binários de navegador.
  8. Treinamento e phishing simulation: conscientizar usuários sobre riscos de .LNK e anexos suspeitos; realizar simulações periódicas.
  9. Plano de resposta a incidentes: ter procedimentos e contatos prontos (CSIRT, fornecedores de segurança, resposta jurídica e comunicação).

ChaosBot mostra como atacantes combinam técnicas modernas (Rust, Discord C2, side-loading e evasão de telemetria) com vetores clássicos (phishing, credenciais roubadas). Equipes de segurança precisam de estratégias multicamadas: prevenção, detecção ativa e resposta rápida. Reduzir privilégios, monitorar tráfego anômalo e educar usuários são medidas que continuam sendo essenciais.

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *