Chaos, malware basado en Go se está extendiendo por todo el mundo.

Chaos está diseñado para usarse con una variedad de arquitecturas, incluidas ARM, Intel (i386), MIPS y PowerPC. Está diseñado para Windows, Linux y una variedad de dispositivos de consumo, enrutadores de oficina pequeña/oficina doméstica (SOHO) y servidores empresariales. El malware permite explotar vulnerabilidades conocidas y permite a los atacantes:

• Escanear el sistema de destino para analizarlo en busca de futuros comandos.
• Iniciar la paginación y distribución automática a través de SecureShell (SSH) utilizando claves privadas robadas o de fuerza bruta.
• Lanzar un ataque DDoS e iniciar el cifrado.

Los analistas de Black Lotus Labs señalaron que la prevalencia del malware escrito en GO ha aumentado drásticamente en los últimos años debido a su flexibilidad, baja tasa de detección de antivirus y dificultad en la ingeniería inversa.

El malware Chaos es poderoso porque puede ejecutarse en una variedad de arquitecturas, dispositivos y sistemas de destino (como enrutadores SOHO y sistemas operativos FreeBDS) que no forman parte del modelo de seguridad de una empresa. Algunos son monitoreados regularmente y son robados o forzados usando vulnerabilidades conocidas y distribución de claves SSH.

El malware Chaos se está propagando

A partir de junio, los analistas descubrieron varios grupos de chaos diferentes escritos en chino. Los clústeres aprovecharon la infraestructura de mando y control (C2) en rápida expansión de China en agosto y septiembre. Las infecciones de Chaos bot se concentran principalmente en Europa (Italia, Francia, España, Alemania), Estados Unidos y China.

El atacante comprometió al menos un servidor GitLab y lanzó múltiples ataques DDoS contra organizaciones en las industrias de juegos, servicios financieros y tecnología, medios/entretenimiento, criptomonedas e incluso DDoS como servicio. Los objetivos incluyen organizaciones en Europa, Medio Oriente y África, Asia Pacífico y América del Norte.

«El malware Kaos apunta a vulnerabilidades conocidas», agregó Dehus, «Recomendamos que los administradores de red implementen una gestión de parches estricta y utilicen los IoC (indicadores de compromiso) descritos en nuestro informe para monitorear infecciones o conexiones a infraestructura sospechosa. Los consumidores y los trabajadores remotos deben habilitar las actualizaciones automáticas de software, actualizar regularmente las contraseñas y reiniciar el hardware».

Black Lotus Labs cree que el malware no está relacionado con el generador de ransomware Chaos descubierto en 2021; en cambio, el código y las funciones superpuestas sugieren que es probable que sea una evolución de Kaiji, el malware DDoS descubierto en 2020.

El malware Chaos también es particularmente dañino porque se dirige a dispositivos y sistemas que normalmente no son monitoreados por sistemas de seguridad.

Los IoC’s asociados a esta campaña, pueden ser consultados en el siguiente enlace.

Referencias: