ChaChi Trojan

O ChaChi é a nova ameaça de um RAT (Trojan de Acesso Remoto) que foi descoberta pelos pesquisadores de malware. O malware é escrito inteiramente em GoLang, uma tendência recente entre os cibercriminosos que mostram uma mudança perceptível das linguagens C e C ++ em busca de linguagens mais obscuras e difíceis de serem detectadas. O GoLang parece ser a escolha preferida, com um aumento de aproximadamente 2.000% no número de ameaças de malware usando a linguagem em apenas alguns anos.

O nome da ameaça foi derivado de duas ferramentas disponíveis no mercado - Chashell e Chisel. O malware ChaChai usa as versões modificadas das duas ferramentas como parte de sua operação. O Chashell é descrito como um provedor de shell reverso sobre DNS, enquanto o Chisel atua como um sistema de encaminhamento de porta.

A Evolução do Trojan ChaChi

As amostras iniciais da ameaça detectada no primeiro semestre de 2020 mostraram pouca sofisticação, tinham ofuscação básica e recursos limitados. Naquela época, ChaChi foi alavancado por uma série de ataques contra autoridades governamentais locais na França. Desde então, no entanto, a ameaça passou por um rápido desenvolvimento e suas versões atuais são muito mais ameaçadoras.

O ChaChi agora possui todas as funcionalidades de um RAT - ele pode estabelecer um canal de backdoor para o sistema comprometido, a exfiltração de dados confidenciais, acessando credenciais por meio do Windows Local Security Authority Subsystem Service (LSASS) e movendo-se na rede da vítima lateralmente. Para ofuscação, a ameaça emprega a ferramenta publicamente disponível gobfuscate que é uma escolha comum para ofuscação GoLang.

Os alvos do RAT também sofreram uma mudança drástica. ChaChi agora está sendo usado em operações de ransomware visando grandes escolas e organizações educacionais dos Estados Unidos.

O novo comportamento de ataque apóia a conjectura de que o ChaChi foi desenvolvido pelo grupo de hackers PYSA/Mespinoza. A PYSA esteve envolvida em várias campanhas de ransomware e o FBI emitiu um alerta sobre um potencial aumento nos ataques do grupo contra escolas localizadas no Reino Unido e nos EUA anteriormente.