Um malware poderoso capaz de infectar vários sistemas e arquiteturas de CPU está fazendo avanços na Europa e em outros lugares. A ameaça Chaos se espalha pelo Windows e Linux sendo projetada para executar comandos emitidos remotamente por cibercriminosos.
Chaos é um novo malware escrito na linguagem de programação Go com recursos bastante exclusivos. Descoberta e analisada pelo Black Lotus Labs, o braço de pesquisa da empresa de segurança Lumen, a nova ameaça pode infectar uma infinidade de plataformas de computação, tanto na frente de software quanto de hardware.
Existem mais de uma centena de máquinas infectadas a partir de agora, uma rede maliciosa que pode ser aproveitada para espalhar outras ameaças e tipos de malware também.
Os pesquisadores da Black Lotus chamaram o novo malware de “Chaos”, pois a palavra tem sido usada repetidamente no código para nomes de funções, certificados e nomes de arquivos.
O caos começou a surgir em abril, dizem os pesquisadores, e agora existem mais de 111 IPs exclusivos pertencentes a dispositivos infectados.
O caos é uma ameaça bastante flexível, pois os dispositivos mencionados acima incluem unidades de PC padrão, roteadores para pequenos escritórios e grandes caixas corporativas.
Chaos é realmente projetado para rodar em várias arquiteturas de computação, incluindo processadores de PC tradicionais (i386), CPUs ARM, MIPS e PowerPC. No lado do software, o Chaos também pode ser executado no Windows, Linux e FreeBSD.
Ao contrário das ameaças de ransomware e botnets que empregam campanhas de spam para espalhar a infecção, o Chaos pode se espalhar explorando vulnerabilidades CVE conhecidas e chaves SSH comprometidas.
As amostras analisadas pela Black Lotus continham falhas que afetavam os firewalls pessoais Huawei (CVE-2017-17215) e Zyxel (CVE-2022-30525), além de outros CVEs conhecidos.
Após infectar uma máquina, o Chaos pode usar seus vários recursos, como enumerar todos os dispositivos conectados a uma rede, executar shells remotos para executar comandos maliciosos e carregar módulos adicionais.
Segundo os pesquisadores, a complexidade do malware é a prova de que o Chaos foi criado por um “ator cibercriminoso que está cultivando uma rede de dispositivos infectados para alavancar o acesso inicial, ataques DDoS e mineração de criptografia”.
Black Lotus diz que Chaos é provavelmente um descendente de Kaiji, um botnet previamente identificado visando servidores Linux (i386) para realizar ataques DDoS.
O malware está muito mais evoluído agora, considerando seus novos recursos poderosos e a capacidade de ser executado em dispositivos Windows e FreeBSD, além do Linux.
Os IPs comprometidos identificados pela empresa de segurança estão localizados principalmente na Europa, com pontos de infecção menores nas Américas do Norte e do Sul e na região da Ásia-Pacífico.
Ao concluir sua análise, os pesquisadores sugerem algumas práticas recomendadas para evitar ser infectado por uma ameaça complexa e perigosa como o Chaos.
O gerenciamento de patches para vulnerabilidades recém-descobertas deve ser “eficaz”, dizem os autores, enquanto os roteadores SOHO precisam de ciclos regulares de reinicialização (além de instalar as atualizações de firmware mais recentes), pois a maioria dos malwares de roteador não sobrevive a uma reinicialização.
Além disso, os trabalhadores remotos devem alterar as senhas padrão e desabilitar o acesso remoto à raiz em máquinas que não exigem isso.
Leia também: Nova vulnerabilidade crítica é descoberta no Google Chrome