Les chercheurs en cybersécurité ont signalé un nouveau cheval de Troie basé sur Rust, nommé ChaosBot, détecté initialement en septembre 2025 dans un environnement de services financiers. Ce malware permet aux opérateurs d’exécuter des commandes à distance sur des systèmes compromis et a été observé interagissant via des profils Discord. Les utilisateurs liés à cette activité sont ‘chaos_00019’ et ‘lovebb0024’.
N’ouvrez jamais de fichiers de profils inconnus ou de messages suspects
ChaosBot se distribue principalement par le biais de messages de phishing contenant un raccourci Windows malveillant. Lorsque l’utilisateur ouvre le fichier, une commande PowerShell est exécutée pour télécharger le malware. Celui-ci se cache sous la forme d’un fichier DLL malveillant et cherche à établir un tunnel d’accès persistant au réseau compromis via un proxy inverse. Pendant son fonctionnement, le malware peut recevoir des instructions supplémentaires par le biais du canal Discord établi par les attaquants, ce qui améliore sa capacité de commande et de contrôle.
De plus, une variante de ransomware associée à Chaos a été identifiée, se distinguant par sa capacité à supprimer des fichiers au lieu de les chiffrer. Cette variante utilise également des techniques pour manipuler le presse-papiers, dans le but de rediriger des transferts de cryptomonnaies, augmentant ainsi sa dangerosité et sa complexité. Cette approche duale d’extorsion destructrice et de vol financier reflète un changement vers des tactiques plus agressives et multifacettes de la part des acteurs malveillants.
ChaosBot a prouvé qu’il est difficile à détecter, utilisant des techniques pour échapper à la surveillance sur les systèmes Windows, comme la modification de fonctions et la vérification des adresses MAC associées aux machines virtuelles. Les analystes avertissent que ce malware ne représente pas seulement une menace directe pour la sécurité des systèmes, mais aussi pour les finances des utilisateurs en affectant les plateformes de cryptomonnaies.
