ChaChi Trojan

ChaChi er en ny RAT-trussel (Remote Access Trojan), der blev opdaget af malware-forskere. Malwaren er skrevet i GoLang helt, en nylig tendens blandt cyberkriminelle, der viser et mærkbart skift fra C- og C ++ - sprogene på jagt efter mere obskure og sværere at blive opdaget. GoLang ser ud til at være det foretrukne valg med en stigning på ca. 2.000% i antallet af malware-trusler, der bruger sproget på bare et par år.

Navngivningen af truslen stammede fra to værktøjer uden hylde - Chashell og Mejsel. ChaChai-malware bruger de modificerede versioner af de to værktøjer som en del af driften. Chashell beskrives som en omvendt shell over DNS-udbyder, mens Chisel fungerer som et port-forwarding-system.

Udviklingen af ChaChi Trojan

De første prøver af truslen, der blev opdaget i første halvdel af 2020, viste ringe sofistikering, havde grundlæggende tilsløring og begrænsede muligheder. Dengang blev ChaChi gearet i en række angreb mod lokale myndigheders myndigheder i Frankrig. Siden da har truslen imidlertid været under hurtig udvikling, og dens nuværende versioner er langt mere truende.

ChaChi besidder nu fuld RAT-funktionalitet - den kan etablere en bagdørkanal til det kompromitterede system, exfiltrering af følsomme data, få adgang til legitimationsoplysninger via Windows Local Security Authority Subsystem Service (LSASS) og bevæge sig inden for offerets netværk lateralt. Til obfuscation anvender truslen det offentligt tilgængelige værktøj, der er sløret, hvilket er et almindeligt valg for GoLang-obfuscation.

Målene for RAT har også gennemgået en drastisk ændring. ChaChi bruges nu i ransomware-operationer rettet mod store amerikanske skoler og uddannelsesorganisationer.

Den nye angrebsadfærd understøtter formodningen om, at ChaChi blev udviklet af PYSA / Mespinoza-hackergruppen. PYSA har været involveret i flere ransomwarekampagner, og FBI har udsendt en advarsel om en potentiel stigning i gruppens angreb på skoler i Storbritannien og USA tidligere.