恶意软件 ChaosBot 利用 Discord 频道控制受害者电脑

网络安全研究人员披露了一款名为 “ChaosBot” 的新型 Rust 语言后门恶意软件细节。该软件可让攻击者对受感染主机执行侦察操作，并运行任意命令。

“威胁行为体利用了已泄露的凭据，这些凭据既关联思科虚拟专用网络，也关联一个权限过高的活动目录账户，该账户名为‘serviceaccount’。”网络安全公司eSentire在上周发布的技术报告中表示，“攻击者通过这个泄露的账户，利用 WMI在网络中的多台设备上远程执行命令，为 ChaosBot 的部署与运行创造了条件。”

这家加拿大网络安全公司称，其首次发现该恶意软件是在 2025 年 9 月末，当时它存在于某金融服务客户的网络环境中。

ChaosBot 的显著特点是滥用 Discord作为命令与控制（C2）通道。它的命名源于背后攻击者所维护的 Discord 账号 —— 该攻击者的网络昵称是 “chaos_00019”，负责向受感染设备下发远程命令。此外，还有一个关联 C2 操作的 Discord 用户账号为 “lovebb0024”。

除此之外，研究人员还观察到，该恶意软件会通过 “含恶意 Windows 快捷方式（.lnk 文件）的钓鱼邮件” 进行传播。若收件人打开该.lnk 文件，系统会执行一条 PowerShell 命令，下载并运行 ChaosBot；同时会显示一个伪装成 “越南国家银行合法函件” 的诱饵 PDF 文件，以此转移用户注意力。

ChaosBot 的有效载荷是一个恶意动态链接库（DLL 文件，名为 “msedge_elf.dll”），它通过 “Microsoft Edge的‘identity_helper.exe’程序” 实现侧载，即借助合法程序加载恶意 DLL。加载完成后，该恶意软件会执行系统侦察，并下载 “快速反向代理”，在目标网络中建立反向代理通道，从而持续保持对受感染网络的访问权限。

研究人员还发现，攻击者曾试图通过该恶意软件配置 “Visual Studio Code Tunnel”，将其作为额外后门以实现命令执行功能，但最终未成功。不过，ChaosBot 的核心功能仍是与 “攻击者创建的 Discord 频道” 交互，以接收进一步指令。

以下是 ChaosBot 支持的部分命令：

shell：通过 PowerShell 执行 shell 命令
scr：捕获受害者设备的屏幕截图
download：向受害者设备下载文件
upload：将文件上传至 Discord 频道

eSentire 指出：“ChaosBot 的新变种采用了规避技术，可绕过 ETW（Windows 事件跟踪）和虚拟机检测。”“第一种技术是修补‘ntdll!EtwEventWrite’函数的前几条指令；第二种技术是检查系统的 MAC 地址，将其与 VMware、VirtualBox 等虚拟机已知的 MAC 地址前缀进行比对，若匹配则立即退出运行。”

在 ChaosBot 被披露的同时，Fortinet FortiGuard Labs也详细介绍了一款基于 C++ 语言编写的 Chaos 勒索软件新变种。该变种新增了两项关键功能：一是 “破坏性删除”—— 对大型文件进行不可恢复的删除；二是 “剪贴板劫持”—— 将受害者剪贴板中的比特币地址替换为攻击者控制的钱包地址，从而拦截加密货币转账。

该公司表示：“这种‘破坏性删除 + 隐蔽财务盗窃’的双重策略，标志着 Chaos 勒索软件已演变为更具攻击性的多面威胁，其设计目的就是最大化获取经济利益。”

通过整合 “破坏性勒索手段” 与 “针对加密货币盗窃的剪贴板劫持”，攻击者试图将这款 Chaos-C++ 勒索软件打造成一款强力工具：它不仅能加密文件，还能删除所有大小超过 1.3GB 的文件，并为财务欺诈提供便利。

Chaos-C++ 勒索软件的下载器会伪装成 “System Optimizer v2.1” 等虚假实用工具，诱骗用户安装。值得注意的是，Chaos 勒索软件的早期版本曾伪装成OpenAI ChatGPT 和 InVideo AI进行传播。

该勒索软件启动后，会首先检查系统中是否存在名为 “% APPDATA%\READ_IT.txt” 的文件 —— 该文件是勒索软件 “已在当前设备执行过” 的标识。若文件存在，勒索软件会进入监控模式，持续监视系统剪贴板内容；若文件不存在，则会先检查自身是否以管理员权限”运行：