Rust-Based ChaosBot opera via Discord

Pesquisadores da Picus Security e da eSentire divulgaram detalhes sobre uma nova ameaça avançada chamada ChaosBot, um malware baseado em Rust que utiliza a plataforma Discord para estabelecer um canal discreto de comando e controle (C2). Essa estratégia permite esconder o tráfego malicioso entre comunicações de um serviço legítimo, dificultando a detecção por ferramentas de segurança tradicionais.​

Vetores de infecção e persistência

A cadeia de infecção do ChaosBot começa com credenciais VPN comprometidas ou campanhas de phishing que distribuem arquivos maliciosos .LNK. Uma vez executado, o malware valida um token de bot do Discord e cria um canal privado nomeado conforme o computador da vítima. Esse canal passa a servir como shell interativo, onde os operadores podem enviar comandos como shell, download e scr (captura de tela) e receber resultados e arquivos diretamente via API do Discord.​

O malware foi observado em ataques direcionados a setores financeiros e corporativos, com algumas infecções originadas de credenciais associadas a Cisco VPN e contas Active Directory privilegiadas, permitindo movimentação lateral por WMI (Windows Management Instrumentation) e execução remota em múltiplos sistemas.​

Técnicas de evasão e detecção

Para evitar análise e detecção, o ChaosBot executa patches na função Windows Event Tracing (ETW), o que cega soluções de segurança baseadas em monitoramento de eventos. O código também realiza verificações de MAC address contra intervalos conhecidos de VMware e VirtualBox, detectando ambientes de sandbox e encerrando automaticamente a execução para evitar captura por analistas.​

Infraestrutura Discord como canal de C2

A comunicação do ChaosBot é inteiramente construída sobre a API oficial do Discord com requisições HTTPS autenticadas, tornando o tráfego praticamente idêntico ao de usuários normais da plataforma.

• O primeiro pedido do malware é um GET para validar o bot (/api/v10/users/@me), seguido de um POST que cria um canal exclusivo no servidor do invasor.
• Cada canal é associado a uma máquina comprometida, permitindo controle granular e simultâneo de várias vítimas.
• Os dados são exfiltrados em formato multipart/form-data, e os operadores mantêm comunicação contínua utilizando polling de mensagens em loop.​

Interessantemente, o canal geral usado pelos grupos associados ao ChaosBot carrega o nome 常规 (“regular”, em chinês), indicando possível operação de atores que utilizam a versão chinesa do Discord.​

Mitigações recomendadas

Especialistas recomendam monitorar o tráfego HTTPS do Discord em redes corporativas e implementar inspeção profunda de pacotes (DPI) para detectar comunicações anômalas. Também é indicado:

• Reforçar autenticações VPN e revisar logs de tokens comprometidos.
• Bloquear execução de arquivos LNK externos e ativar restrições no PowerShell.
• Aplicar soluções EDR que detectem modificações em ETW e atividades de codificação/decodificação UTF-8.

A combinação do uso de Rust, codificação ofuscada e infraestrutura de C2 disfarçada em plataformas legítimas faz do ChaosBot um exemplo de como criminosos estão aproveitando ecossistemas populares como o Discord para conduzir ataques sofisticados e silenciosos.