ChaChi Trojan
ChaChi è una nuova minaccia RAT (Remote Access Trojan) scoperta dai ricercatori di malware. Il malware è scritto interamente in GoLang, una tendenza recente tra i criminali informatici che mostrano un notevole cambiamento dai linguaggi C e C++ alla ricerca di quelli più oscuri e più difficili da rilevare. GoLang sembra essere la scelta preferita con un aumento di circa il 2.000% del numero di minacce malware che utilizzano la lingua in appena un paio di anni.
Il nome della minaccia deriva da due strumenti standard: Chashell e Chisel. Il malware ChaChai utilizza le versioni modificate dei due strumenti come parte del suo funzionamento. Chashell è descritto come una shell inversa su provider DNS, mentre Chisel funge da sistema di port forwarding.
L' evoluzione del ChaChi Trojan
I campioni iniziali della minaccia rilevata nella prima metà del 2020 hanno mostrato poca sofisticatezza, offuscamento di base e capacità limitate. Allora ChaChi è stato sfruttato in una serie di attacchi contro le autorità del governo locale in Francia. Da allora, tuttavia, la minaccia ha subito un rapido sviluppo e le sue versioni attuali sono molto più minacciose.
ChaChi ora possiede funzionalità RAT complete: può stabilire un canale backdoor per il sistema compromesso, l'esfiltrazione di dati sensibili, l'accesso alle credenziali tramite il servizio di sottosistema dell'autorità di sicurezza locale di Windows (LSASS) e lo spostamento laterale all'interno della rete della vittima. Per l'offuscamento, la minaccia utilizza lo strumento disponibile pubblicamente gobfuscate che è una scelta comune per l'offuscamento di GoLang.
Anche gli obiettivi del RAT hanno subito un drastico cambiamento. ChaChi viene ora utilizzato nelle operazioni di ransomware che prendono di mira grandi scuole statunitensi e organizzazioni educative.
Il nuovo comportamento di attacco supporta la congettura che ChaChi sia stato sviluppato dal gruppo di hacker PYSA/Mespinoza. PYSA è stata coinvolta in diverse campagne di ransomware e l'FBI ha emesso un avvertimento su un potenziale aumento degli attacchi del gruppo contro le scuole situate nel Regno Unito e negli Stati Uniti in precedenza.
