В 2025 году вредоносное ПО Chaos возродилось на C++ с новыми деструктивными функциями

Новая версия, получившая название Chaos-C++, демонстрирует значительные изменения в тактике и технической реализации. Загрузчик вредоносного программы (SHA256: 2fb01284cb8496ce32e57d921070acd54c64cab5bb3e37fa5750ece54f88b2a4) маскируется под фальшивую утилиту System Optimizer v2.1. Он открывает консоль с фиктивными сообщениями об оптимизации системы для создания видимости легитимности, одновременно скрытно развертывая вредоносную нагрузку в фоновом режиме. Основной модуль (Chaos-C++_type3) записывается в временную директорию %TMP% под случайным именем.

Для обеспечения скрытности операций загрузчик изначально пытается запустить нагрузку через CreateProcessA() с флагом CREATE_NO_WINDOW, гарантируя выполнение без видимого окна. Если этот подход fails, используется резервный метод через командную строку cmd.exe. Как и предыдущие варианты Chaos, вредоносное ПО начинается с маскировки под легитимный процесс Windows, устанавливая заголовок консоли в svchost.exe и создавая мьютекс SvcHost_Mutex_7z459ajrk для предотвращения множественных запусков.

Особенностью новой версии стала проверка привилегий администратора через попытку создания файла C:\WINDOWS\test.tmp. При успешном получении повышенных прав программа выполняет серию деструктивных команд, включая удаление теневых копий через vssadmin, отключение функций восстановления системы с помощью bcdedit и очистку каталога резервных копий через wbadmin. Эти операции направлены на максимальное усложнение восстановления системы без выплаты выкупа.

Стратегия обхода файлов претерпела значительные изменения. После начальной 15-секундной задержки, вероятно предназначенной для обхода автоматического анализа в песочницах, Chaos-C++ начинает перечисление целевых файлов. Критическим нововведением стало применение различных методов обработки в зависимости от размера файла: файлы до 50 МБ полностью шифруются, файлы от 50 МБ до 1,3 ГБ пропускаются, а файлы свыше 1,3 ГБ подвергаются полному удалению содержимого. Эта необычная тактика вызывает необратимую потерю данных, особенно затрагивая архивы, базы данных и резервные копии.

Процесс шифрования демонстрирует техническую усложненность новой версии. Chaos-C++ случайным образом генерирует строку, хэширует ее и использует для получения ключа шифрования AES-256-CFB через CryptoAPI. Если криптографические функции недоступны, программа переключается на резервный метод XOR с использованием GetTickCount() в качестве ключа. После шифрования к имени файла добавляется расширение .chaos, а в начало файла записывается заголовок с информацией о размере ключа и самом ключе.

Одним из наиболее опасных нововведений стал механизм перехвата буфера обмена. Chaos-C++ проверяет потенциальные Bitcoin-адреса по длине (26-64 символа) и префиксу, распознавая форматы P2PKH (начинающиеся с 1), P2SH (с 3) и Bech32 (с bc1). При обнаружении валидного адреса программа заменяет его на заранее заданный кошелек злоумышленника, используя API буфера обмена Windows. Это гарантирует, что любая попытка платежа Bitcoin будет silently перенаправлена атакующему, независимо от предполагаемого получателя.

Сравнительный анализ стратегий обхода файлов различных вариантов Chaos показывает эволюционный путь развития. Ранние версии, написанные на .NET, включая Chaos 2021 года и BlackSnake 2023 года, использовали полное шифрование всех целевых файлов. Вариант Lucky_Gh0$t, идентифицированный в начале 2025 года, отметил переход к более деструктивному поведению, заменяя содержимое файлов крупнее 1,3 ГБ идентичными байтами.

Семейство Chaos-C++ демонстрирует различные экспериментальные подходы: тип1 использует RSA-шифрование и удаляет содержимое крупных файлов, тип2 пропускает файлы среднего и большого размера, а тип3 (основной предмет анализа) комбинирует агрессивные и эффективные методы, шифруя малые файлы, пропуская средние и удаляя крупные. Это разнообразие поведения suggests, что разработчики Chaos экспериментируют с различными стратегиями, вероятно находя баланс между скоростью выполнения и масштабом ущерба.

Пост-развертывание включает отображение сообщения о завершении шифрования, создание файла с инструкциями по выкупу в директории %AppData% и вывод MessageBoxW, направляющей жертву к прочтению требований. Вредоносное программное обеспечение также создает скрытый лог-файл sysopt.log для записи деталей процесса загрузки и выполнения, а также svchost_debug.log для внутренней отладки.

Эволюция Chaos в сторону C++ и внедрение деструктивных тактик, coupled с финансовым вредоносным функционалом перехвата криптовалют, представляет собой значительную эскалацию угрозы. Расширенный набор возможностей, включая обход механизмов восстановления, избирательное шифрование и кражу средств через подмену адресов, превращает Chaos в многогранную угрозу, designed для максимизации финансовой выгоды. Тенденция к экспериментам с различными стратегиями обработки файлов также предполагает, что future варианты Chaos могут функционировать скорее как программы-уничтожители данных (wiper), чем как традиционные вымогатели.

SHA256

• 19f5999948a4dcc9b5956e797d1194f9498b214479d2a6da8cb8d5a1c0ce3267
• 2fb01284cb8496ce32e57d921070acd54c64cab5bb3e37fa5750ece54f88b2a4
• 5d3fcf6532c9ee5778753c3f13e71d1e3b157b49e56133bdff5d04d6e6d6c8be
• 76fde847037ca79c8e897fac9d80567efc4ec3a193ec3d8ae9c9fcd9e1ac4939
• 9521a154b06743fcb3a24b6b61ae0b4cbd1f1ba74d3d9cd9110042082d0b1d5c
• bbf9ebbfd93306108299e54ecbfb59bb9433eeb34f89cef61864f4e87640eaf0
• f200ea7ccc5c9b0eaada74046551ed18a3a9d11c9e87999b25e6b8ee55857359
• f4b5b1166c1267fc5a565a861295a20cf357c17d75418f40b4f14b094409d431
• fe717bab60f1b03012b1e6287e3f3725f1ad5163897041b824024aedabb7c46d