ChaChi Trojan

ChaChi är ett nytt RAT-hot (Remote Access Trojan) som upptäcktes av forskare om skadlig programvara. Skadlig kod är helt skriven i GoLang, en ny trend bland cyberbrottslingar som visar ett märkbart skifte från C- och C ++ - språken på jakt efter mer obskyra och svårare att upptäcka. GoLang verkar vara det föredragna valet med en ökning med cirka 2000% av antalet skadliga hot som använder språket på bara ett par år.

Namnet på hotet härstammar från två hyllaverktyg - Chashell och Mejsel. Den skadliga programvaran ChaChai använder de modifierade versionerna av de två verktygen som en del av driften. Chashell beskrivs som ett omvänd skal över DNS-leverantör, medan Chisel fungerar som ett port-vidarebefordringssystem.

Utvecklingen av ChaChi Trojan

De första proverna av hotet som upptäcktes under första hälften av 2020 visade lite sofistikering, hade grundläggande förmörkelse och begränsad kapacitet. Då utnyttjades ChaChi i en serie attacker mot lokala myndigheter i Frankrike. Sedan dess har hotet dock utvecklats snabbt och dess nuvarande versioner är mycket mer hotfulla.

ChaChi har nu fullständiga RAT-funktioner - det kan skapa en bakdörrkanal till det komprometterade systemet, exfiltrering av känslig data, få åtkomst till referenser via Windows Local Security Authority Subsystem Service (LSASS) och flytta inom offrets nätverk i sidled. För förmörkelse använder hotet det allmänt tillgängliga verktyget som är ett vanligt val för GoLang-förvirring.

Målen för RAT har också genomgått en drastisk förändring. ChaChi används nu i ransomware-verksamhet riktad till stora amerikanska skolor och utbildningsorganisationer.

Det nya attackbeteendet stöder antagandet att ChaChi utvecklades av hackargruppen PYSA / Mespinoza. PYSA har varit inblandad i flera ransomwarekampanjer och FBI har utfärdat en varning om en potentiell ökning av gruppens attacker mot skolor i Storbritannien och USA tidigare.