Nuevas versiones de Chaos RAT apuntan a sistemas Windows y Linux

Iniciado por AXCESS, Junio 06, 2025, 03:26:33 AM

Tema anterior - Siguiente tema

0 Miembros y 7 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 06, 2025, 03:26:33 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de Acronis TRU descubrieron nuevas variantes de Chaos RAT dirigidas a Linux y Windows en ataques recientes. Detectado originalmente en 2022, Chaos RAT evolucionó en 2024, con nuevas muestras apareciendo en 2025. TRU también descubrió una falla crítica en el panel web de Chaos RAT que permite la ejecución remota de código. La última variante parece engañar a las víctimas para que descarguen una herramienta falsa de resolución de problemas de red de Linux, lo que amplía aún más sus métodos de infección.

"Desarrollado en Golang, Chaos RAT ofrece compatibilidad multiplataforma con sistemas Windows y Linux, otro claro ejemplo de cómo herramientas legítimas útiles pueden contener vulnerabilidades y ser reutilizadas para actividades cibercriminales", afirma el informe publicado por Acronis. "Si bien su uso general sigue siendo limitado, muestras recientes confirman que Chaos RAT sigue activo. Su bajo perfil de detección crea oportunidades para el espionaje, la exfiltración de datos y el establecimiento de puntos de apoyo para ransomware y otras operaciones posteriores a la vulneración".

Chaos RAT es una herramienta de acceso remoto (RAT) de código abierto desarrollada en Golang, diseñada para funcionar tanto en sistemas Windows como Linux. Este RAT está inspirado en herramientas como Cobalt Strike y Sliver. Incluye un panel de administración donde los atacantes pueden crear cargas útiles, gestionar sesiones y controlar los dispositivos infectados. Si bien el malware basado en Golang suele ser más grande y lento que las versiones en C++, ofrece compatibilidad multiplataforma más sencilla y un desarrollo más rápido, lo que lo hace atractivo para los ciberdelincuentes.



Chaos RAT, inicialmente diseñado para la administración remota legítima, ha sido reutilizado por actores de amenazas debido a su naturaleza de código abierto. Aunque su desarrollo comenzó en 2017, se empleó por primera vez en ataques reales a finales de 2022, principalmente dirigidos a sistemas Linux en campañas de minería de criptomonedas. Su creciente uso resalta la necesidad de comprender su arquitectura, métodos de ataque y cómo detectarlo y defenderse.

El RAT se propaga a menudo mediante correos electrónicos de phishing con enlaces o archivos adjuntos maliciosos. Los primeros ataques utilizaban tareas cron para actualizar las cargas útiles de forma remota, lo que permitía a los atacantes implementar mineros de criptomonedas o Chaos RAT sin volver a acceder al sistema. El RAT se utilizaba principalmente para reconocimiento. En un caso reciente en India, un archivo llamado NetworkAnalyzer.tar.gz contenía el RAT, camuflado como una herramienta de red Linux, lo que sugiere que los atacantes utilizaron ingeniería social para engañar a la víctima.

El Chaos RAT ofrece una serie de comandos para el control del sistema y el robo de datos. Puede recopilar información del sistema operativo y del usuario, tomar capturas de pantalla, reiniciar o apagar el sistema, bloquear o cerrar sesión de usuarios (solo Windows), explorar y administrar archivos (explorar, cargar, descargar, eliminar) y abrir URL en el navegador predeterminado. Es compatible con Windows y Linux, con algunas funciones específicas del sistema operativo. Estas capacidades permiten a los operadores controlar los sistemas infectados y extraer datos de forma remota.

Chaos RAT permite a los atacantes administrar archivos, abrir shells inversos y redirigir el tráfico de red, funciones útiles para espiar, robar datos o preparar el terreno para el ransomware. Al ser de código abierto, los actores de amenazas pueden modificar fácilmente el código para evitar la detección, lo que dificulta el rastreo de ataques o la distinción entre ciberdelincuentes y grupos de estados nacionales que utilizan la misma herramienta.

"Lo que comienza como una herramienta para desarrolladores puede convertirse rápidamente en la herramienta predilecta de un actor de amenazas. Este RAT basado en Go ofrece una interfaz web sencilla y potentes controles de sistema en Windows y Linux, ofreciendo shells inversos, manipulación de archivos y ejecución remota de comandos en sistemas comprometidos", concluye el informe. Se ha detectado en la práctica y representa un problema creciente en ciberseguridad: la instrumentalización del software de código abierto. Con capacidades de implementación rápida, ataques sigilosos contra Linux y una configuración flexible, nos recuerda que el código abierto es un arma de doble filo y, en las manos equivocadas, puede ser muy dañino.

Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias relacionadas:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario