Los ciberdelincuentes están utilizando el lenguaje de programación Go de Google para apuntar a los dispositivos conectados.
Una pieza de malware multiplataforma recientemente descubierta llamada ‘Chaos’ se está propagando en los sistemas Linux y Windows para acumular recursos para ataques de denegación de servicio distribuido (DDoS) contra empresas de juegos en línea eintercambios de cifrado.
El malware fue escrito en Go, el popular lenguaje de programación de sistemas y nube de Google, que apunta a los sistemas operativos Windows y Linux y admite a múltiples arquitecturas de chips que permiten residir en enrutadores, dispositivos IoT, teléfonos inteligentes y servidores empresariales.
Estos incluyen x86, x86-64, AMD64, MIPS, MIPS64, ARMv5-ARMv8, AArch64 y PowerPC, según Black Lotus Labs, la unidad de ciberseguridad de la empresa estadounidense de infraestructura de Internet Lumen.
Chaos explota vulnerabilidades conocidas pero sin parchear en los dispositivos de firewall para afianzarse en una red. Estos incluyen fallas críticas de ejecución remota de código que afectan a los enrutadores inalámbricos HG532 de Huawei para hogares y pequeñas empresas (CVE-2017-17215) y una falla más reciente en los enrutadores de Zyxel (CVE-2022-30525).
Lumen sugiere que el malware fue creado por actores chinos que eligieron Go para crear malware que era difícil de aplicar en ingeniería inversa.
Hasta el momento, han encontrado 100 muestras de Chaos que permite a sus operadores perfilar un entorno de host, enviar comandos remotos a un dispositivo, agregar nuevas capacidades, propagarse a través de una red adivinando claves privadas SSH y lanzar ataques DDoS.
El malware se ha utilizado recientemente para ataques DDoS dirigidos a sitios en los sectores de juegos, servicios financieros, tecnología y medios y entretenimiento. También ha apuntado a un intercambio de criptomonedas.
La firma cree que Chaos es una nueva versión del malware Kaiji IoT, descubierto por el investigador de seguridad centrado en Linux MalwareMustDie en 2020 .
Kaiji fue notable porque estaba escrito en Go, mientras que la mayoría de los otros programas maliciosos de IoT hasta entonces habían sido escritos en C o C ++, dos lenguajes ampliamente utilizados para programar software para sistemas integrados.
Según Lumen, Chaos se instala en un dispositivo host y luego se comunica con el servidor de comando y control integrado (C2). El host recibe varios comandos de preparación para propagarse a través de una vulnerabilidad conocida o claves privadas SSH.
“Según el primer conjunto de comandos, el host puede recibir una serie de comandos de ejecución adicionales, incluida la propagación a través del CVE designado y las listas de objetivos específicos, la explotación adicional del objetivo actual, el lanzamiento de un tipo específico de ataque DDoS contra un dominio específico o IP y puerto y realizar criptominería”.
Hasta ahora, las infecciones de Chaos se concentran en Europa, pero los mapas de Lumen también muestran “puntos críticos” en América del Norte y del Sur, así como en Asia Pacífico. No se han observado bots en Australia o Nueva Zelanda.
Lumen vio poco más de 100 nodos Chaos en septiembre, frente a menos de 20 en abril, con un gran salto (~40 a ~90) entre julio y agosto.
Los ataques Chaos DDoS utilizaron los protocolos UDP y TCP/SYN en varios puertos. En septiembre, los actores de Chaos atacaron un sitio de juegos.
Además, a mediados de agosto, un proveedor de DDoS como servicio que vende CAPTCHA bypass y capacidades DDoS de capa de transporte ‘únicas’ fue atacado.