El malware Chaos se propaga rápidamente: qué es y cómo protegerse

El malware conocido como Chaos, reportado por el Laboratorio Black Lotus de Lumen, es capaz de trabajar en diferentes arquitecturas: ARM, Intel (i386), MIPS y PowerPC. Proporciona servicios de DDoS, minería de criptomonedas y capacidades de puerta trasera, y está escrito tanto para sistemas operativos Windows como Linux.

El malware Chaos se propaga rápidamente: qué es y cómo protegerse - Seguridad | Imagen 1 Newsmatic

Índice de Contenido
  1. ¿Qué puede hacer el malware Chaos?
  2. Aumentan las preocupaciones a medida que el malware Chaos se propaga rápidamente
  3. ¿Cuál es el objetivo del malware?
  4. ¿Cómo pueden los profesionales de seguridad proteger a sus organizaciones de esta amenaza?

¿Qué puede hacer el malware Chaos?

Chaos, además de poder funcionar en múltiples plataformas, también ha sido diseñado para utilizar vulnerabilidades conocidas y fuerza bruta en SSH. Los investigadores de Lumen evalúan que Chaos es una evolución del malware DDoS Kaiji, basado en solapamientos de código y funciones.

Una vez que se ejecuta en un sistema, el malware establece persistencia y se comunica con su servidor de comando y control. A su vez, el servidor responde con uno o más comandos de etapamiento que sirven para diferentes propósitos antes de posiblemente recibir más comandos o módulos adicionales (Figura A).

Figura A

El malware Chaos se propaga rápidamente: qué es y cómo protegerse - Seguridad | Imagen 2 Newsmatic

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Las comunicaciones con el servidor de comando y control se establecen en un puerto UDP determinado por la dirección MAC del dispositivo. El mensaje inicial enviado al servidor envía una sola palabra, "online", junto con el número de puerto, la versión de Microsoft Windows y la información de arquitectura.

Curiosamente, si falla al determinar la versión de Windows, el malware envía "windwos 未知", los caracteres chinos que significan "desconocido". Además, el puerto cambiará de un dispositivo infectado a otro, lo que dificulta la detección en la red.

En los sistemas Linux, el malware envía información del sistema operativo pero no de la arquitectura. Si falla, envía un mensaje en chino que significa "GET failed".

Una vez que se establece una conexión exitosa, el servidor de comando y control envía los comandos de etapamiento, que pueden ser:

  • Propagación automática a través del protocolo Secure Shell, comprometiendo máquinas adicionales mediante el uso de claves robadas del host, fuerza bruta o un archivo de contraseñas descargado.
  • Estableciendo un nuevo puerto para acceder a archivos adicionales en el servidor de comando y control, que son utilizados por otros comandos: password.txt, download.sh y cve.txt.
  • Falsificar direcciones IP en sistemas Linux para modificar los encabezados de los paquetes de red durante un ataque DDoS para que parezca que provienen de diferentes máquinas.
  • Explotar diversas vulnerabilidades conocidas.

Una vez que se realizan las comunicaciones iniciales con el servidor de comando y control, el malware recibirá esporádicamente más comandos, como la ejecución de la propagación a través de la explotación de vulnerabilidades predefinidas en rangos objetivo, el lanzamiento de ataques DDoS o la iniciación de la minería de criptomonedas.

El malware también puede proporcionar un shell inverso al atacante, quien luego puede ejecutar más comandos en los sistemas infectados.

Cómo proteger tu computadora de los virus: métodos y consejos

Aumentan las preocupaciones a medida que el malware Chaos se propaga rápidamente

Los datos telemétricos del Laboratorio Black Lotus de Lumen indican que el malware se propaga rápidamente. Cientos de direcciones IP únicas que representan máquinas comprometidas que ejecutan el malware Chaos han aparecido desde mediados de junio hasta mediados de julio en Europa, Asia oriental y las Américas (Figura B).

Figura B

El malware Chaos se propaga rápidamente: qué es y cómo protegerse - Seguridad | Imagen 3 Newsmatic

La cantidad de servidores de comando y control también ha crecido. Los investigadores han podido rastrear los servidores de comando y control basados en los certificados SSL autofirmados utilizados, que contenían la palabra Chaos como emisor. Si bien inicialmente solo se encontraron 15 instancias de servidores de comando y control, siendo el más antiguo generado el 16 de abril de 2022, llegó a 111 servidores diferentes al 27 de septiembre, la mayoría de ellos alojados en Europa.

Las interacciones con los servidores de comando y control provienen de dispositivos Linux integrados, así como de servidores empresariales.

¿Cuál es el objetivo del malware?

El malware Chaos ha sido desarrollado con el propósito de llevar a cabo diferentes tareas. Es capaz de lanzar ataques DDoS a objetivos seleccionados y hacer que esos ataques parezcan provenir de múltiples hosts. Si cientos de máquinas infectadas reciben la orden de comenzar a atacar un objetivo, podría tener éxito en interrumpir o ralentizar las actividades en Internet.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Lumen observó el objetivo de entidades involucradas en juegos, servicios financieros, tecnología, medios de comunicación y entretenimiento, así como en empresas de alojamiento, pero también tuvo como objetivo a un intercambio de minería de criptomonedas y a un proveedor de servicios DDoS.

El malware Chaos también es capaz de instalar mineros de criptomonedas y comenzar a utilizar una computadora infectada para la minería. Los investigadores observaron la descarga de un minero de criptomonedas Monero junto con un archivo de configuración funcional. Una vez ejecutado, la carga útil utiliza la capacidad de procesamiento de la máquina para generar criptomonedas Monero.

Además, Chaos también permite a los atacantes propagarse en otros equipos mediante la explotación de diferentes vulnerabilidades comunes y proporciona un shell inverso al atacante. Ninguna de estas actividades parece orientada al ciberespionaje. Parece que el malware se utiliza exclusivamente con fines financieros.

¿Cómo pueden los profesionales de seguridad proteger a sus organizaciones de esta amenaza?

El vector de infección inicial es desconocido, pero es probable que provenga de correos electrónicos o navegación web, que son los dos principales vectores de infección para este tipo de malware.

Se recomienda encarecidamente tener todos los sistemas operativos, dispositivos y software actualizados y parcheados. El malware Chaos a veces aprovecha vulnerabilidades comunes, y tener todas las actualizaciones aplicadas puede evitar que el malware se propague aún más en la red.

También se recomienda implementar herramientas de seguridad como detección y respuesta en el punto final para posiblemente detectar el malware antes de que se lance. Las claves de SSH deben almacenarse de forma segura solo en los dispositivos que las requieran, y el acceso root remoto debe estar prohibido en cualquier máquina que no lo necesite.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El malware Chaos se propaga rápidamente: qué es y cómo protegerse , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.