ChaChi Trojan
चाची एक नया आरएटी (रिमोट एक्सेस ट्रोजन) खतरा है जिसे मैलवेयर शोधकर्ताओं ने खोजा था। मैलवेयर पूरी तरह से GoLang में लिखा गया है, साइबर अपराधियों के बीच एक हालिया प्रवृत्ति जो अधिक अस्पष्ट और कठिन पहचान वाले लोगों की तलाश में C और C ++ भाषाओं से ध्यान देने योग्य बदलाव दिखाते हैं। केवल कुछ वर्षों में भाषा का उपयोग करने वाले मैलवेयर खतरों की संख्या में लगभग 2,000% की वृद्धि के साथ GoLang पसंदीदा विकल्प प्रतीत होता है।
खतरे का नामकरण दो ऑफ-द-शेल्फ टूल - चाशेल और छेनी से लिया गया था। चाचाई मैलवेयर अपने ऑपरेशन के हिस्से के रूप में दो टूल के संशोधित संस्करणों का उपयोग करता है। चेशेल को DNS प्रदाता पर एक रिवर्स शेल के रूप में वर्णित किया गया है, जबकि छेनी एक पोर्ट-फ़ॉरवर्डिंग सिस्टम के रूप में कार्य करती है।
चाची ट्रोजन का विकास
2020 की पहली छमाही में पाए गए खतरे के शुरुआती नमूनों में थोड़ा परिष्कार दिखाया गया था, इसमें बुनियादी अस्पष्टता और सीमित क्षमताएं थीं। उस समय चाची को फ्रांस में स्थानीय सरकारी अधिकारियों के खिलाफ हमलों की एक श्रृंखला में इस्तेमाल किया गया था। तब से, हालांकि, खतरे का तेजी से विकास हुआ है और इसके वर्तमान संस्करण कहीं अधिक खतरनाक हैं।
चाची के पास अब पूर्ण आरएटी कार्यक्षमता है - यह समझौता प्रणाली के लिए एक पिछले दरवाजे चैनल स्थापित कर सकता है, संवेदनशील डेटा को बाहर निकाल सकता है, विंडोज लोकल सिक्योरिटी अथॉरिटी सबसिस्टम सर्विस (एलएसएएसएस) के माध्यम से क्रेडेंशियल्स तक पहुंच सकता है, और बाद में पीड़ित के नेटवर्क में आगे बढ़ सकता है। अस्पष्टता के लिए, खतरा सार्वजनिक रूप से उपलब्ध टूल gobfuscate को नियोजित करता है जो GoLang obfuscation के लिए एक सामान्य विकल्प है।
आरएटी के लक्ष्यों में भी भारी बदलाव आया है। चाची का उपयोग अब बड़े अमेरिकी स्कूलों और शैक्षिक संगठनों को लक्षित रैंसमवेयर संचालन में किया जा रहा है।
नया हमला व्यवहार इस अनुमान का समर्थन करता है कि चाची को PYSA/Mespinoza हैकर समूह द्वारा विकसित किया गया था। PYSA कई रैंसमवेयर अभियानों में शामिल रहा है और FBI ने पहले यूके और यूएस में स्थित स्कूलों के खिलाफ समूह के हमलों में संभावित वृद्धि के बारे में चेतावनी जारी की है।
