ChaosBot, открит през 2025 г., е нов вид зловреден софтуер, който се управлява чрез Discord и има потенциал да компрометира цели финансови системи и лични устройства. Специалистите по киберсигурност го класифицират като особено опасен заради способността му да краде файлове, шпионира и извършва финансова измама.
Как работи ChaosBot
Зловредният софтуер е разработен от хакер, използващ псевдонима chaos_00019, който програмира в Rust – модерен език, често труден за засичане от антивирусните програми.
Метод на заразяване:
-
Жертвата отваря фалшив PDF, например от т.нар. „Bank of Vietnam“, който служи като примамка.
-
PDF файлът стартира PowerShell команда, която имплементира злонамерена DLL библиотека.
-
Впоследствие се активира частен чат в Discord, свързан с компрометирания компютър, превръщайки платформата в контролен панел за хакера.
ChaosBot може да:
-
Прави скрийншотове на екрана;
-
Краде файлове;
-
Изпълнява произволни команди;
-
Променя биткойн адреси и източва криптовалути;
-
Изтрива големи файлове и шифрова данни (Chaos-C++ версията работи като рансъмуер).
Особено тревожно е, че трафикът на злонамерените команди е маскиран като нормален Discord трафик, което затруднява мониторинга.
Chaos-C++ – усилена версия
Chaos-C++ е подвариант на ChaosBot, специализиран в:
-
Изтриване и криптиране на големи файлове за бързо оказване на натиск върху жертвата;
-
Финансови измами, като изнудване с криптовалути;
-
Скриване във фалшиви програми, включително инсталатори на ИИ инструменти като ChatGPT или системни оптимизатори.
Как да се предпазите
Експертите от eSentire препоръчват следните мерки за защита:
-
Ограничаване на привилегиите за отдалечен достъп;
-
Задължителна многофакторна автентикация;
-
Използване на сложни пароли и редовно обновяване на софтуер;
-
Сътрудничество с Managed Detection and Response (MDR) услуги, които предлагат 24/7 наблюдение на всички потенциални входни точки за атаки;
-
Внимание при отваряне на непознати файлове, PDF документи или програми, получени чрез Discord или други чат приложения.
