Um malware de acesso remoto está a passar despercebido como ferramenta de diagnóstico de rede para Linux, mas o que esconde é bem mais perigoso: trata-se de uma nova variante de um trojan de acesso remoto (RAT) chamada Chaos RAT, uma ameaça multiplataforma que tem infetado sistemas Windows e Linux em campanhas recentes. E com potencial devastador.
Malware pode assumir controlo total das máquinas comprometidas
Segundo a empresa de cibersegurança Acronis, o Chaos RAT é um trojan de código aberto escrito em Golang. Tem a capacidade de controlar dispositivos remotamente a partir de um painel administrativo que permite criar cargas maliciosas, iniciar sessões e assumir controlo total de máquinas comprometidas.
Ao ser executado, o trojan estabelece ligação com um servidor de controlo remoto e fica à espera de instruções. Entre as ações que pode executar estão comandos para iniciar shells reversos, transferir ou apagar ficheiros, capturar ecrãs, recolher dados do sistema, desligar ou reiniciar o computador e até abrir URLs arbitrárias. A versão mais recente, 5.0.3, foi lançada a 31 de maio de 2024.
Falsas ferramentas de rede e campanhas de phishing
A arquitetura lembra ferramentas como Cobalt Strike e Sliver, bastante usadas por agentes de ameaça avançados. O Chaos RAT tem sido distribuído principalmente por meio de e-mails de phishing que incluem links ou anexos maliciosos.
Em pelo menos um caso documentado, numa amostra recente enviada ao VirusTotal em janeiro de 2025 da Índia, o malware surgiu disfarçado do que parece ser um utilitário de solução de problemas de rede para ambientes Linux, com o nome "NetworkAnalyzer.tar.gz".
As versões para Linux foram vistas frequentemente em conjunto com campanhas de mineração de criptomoedas, o que mostra como o Chaos RAT pode ser usado em ataques com múltiplos objetivos. Uma técnica particularmente usada envolve alterar o agendador de tarefas "/etc/crontab" para garantir persistência e manter o controlo do sistema mesmo após reinícios.
Ferramenta legítima… até cair nas mãos erradas
O uso do Chaos RAT levanta mais uma vez o alerta sobre o papel ambíguo de ferramentas de código aberto em cibersegurança.
"O que começa como uma ferramenta para programadores pode rapidamente tornar-se o instrumento preferido de um agente de ameaças", explicaram os investigadores da Acronis à página TheHackerNews.
Quando várias campanhas usam o mesmo malware de código aberto, torna-se extremamente difícil atribuir os ataques a um grupo ou país específico.
"O uso de malware disponível publicamente ajuda os grupos de APT a camuflarem-se no ruído do crime cibernético quotidiano", afirmaram os especialistas.
E o Chaos RAT, com a sua capacidade de personalização e distribuição facilitada, é um exemplo claro disso.
Promoção do dia!
