Pesquisadores do Black Lotus Labs, unidade de pesquisa da empresa de segurança Lumen Technologies, identificaram um novo malware multiplataforma. Apelidado de Chaos pelos pesquisadores, esse malware infectou vários dispositivos Windows e Linux, incluindo servidores corporativos, caixas FreeBSD e roteadores de pequenos escritórios.
Pesquisadores descobriram ‘Chaos’
Os pesquisadores da Lumen apelidaram o malware de Caos porque essa palavra aparece repetidamente em nomes de arquivos, nomes de funções e certificados que o malware usa. O malware está escrito em chinês e usa uma infra-estrutura de comando e controle baseada na China.
O malware foi detectado pela primeira vez em 16 de abril, depois que seu primeiro cluster de servidores de controle entrou em operação. Entre junho e meados de julho, foram detectados centenas de endereços IP exclusivos que representavam dispositivos infectados com Chaos.
Nos últimos meses, a taxa de infecção se intensificou, com o número de dispositivos comprometidos aumentando de 39 em Maio a 93 em agosto e 111 em setembro. Eles analisaram cerca de 100 amostras de malware Chaos.
Chaos- um malware multifuncional
Os pesquisadores do Black Lotus Labs escreveram que o Chaos é um software baseado em Go , malware multifuncional que visa dispositivos baseados em várias plataformas, como Windows e Linux.
Em seu relatório, os pesquisadores observaram que a potência do malware se deve a vários fatores, como sua capacidade de funcionar em várias arquiteturas, incluindo MIPS, ARM, PowerPC e Intel (i386), além de seus efeitos nos dois sistemas operacionais. Este malware suporta 70 comandos diferentes.
“A funcionalidade do caos inclui a capacidade de enumerar o ambiente do host, executar comandos shell remotos, carregar módulos adicionais, propagar automaticamente por meio de roubo e força bruta de chaves privadas SSH, bem como lançar ataques DDoS.”
Black Lotus Labs
Os pesquisadores observaram ainda que a base de código do Chaos e a sobreposição funcional o tornam semelhante ao malware Kaiji IoT conhecido por comprometer dispositivos Linux para ataques DDoS.
Depois de enumerar os servidores C2 do malware Chaos e vários clusters, os pesquisadores identificaram que alguns foram usados em ataques DDoS recentes contra empresas do setor de tecnologia, serviços financeiros, jogos, entretenimento e mídia.
