ChaChi Trojan

ChaChi 是恶意软件研究人员发现的一种新的 RAT（远程访问木马）威胁。该恶意软件完全是用 GoLang 编写的，这是最近网络犯罪分子的一种趋势，他们明显从 C 和 C++ 语言转向寻找更晦涩难懂的语言。 GoLang 似乎是首选，在短短几年内，使用该语言的恶意软件威胁数量增加了约 2,000%。

威胁的命名源自两个现成的工具 - Chashell 和 Chisel。 ChaChai 恶意软件使用这两个工具的修改版本作为其操作的一部分。 Chashell 被描述为 DNS 提供商的反向 shell，而 Chisel 充当端口转发系统。

ChaChi木马的演变

2020 年上半年检测到的威胁的初始样本显示不复杂，基本混淆，功能有限。当时，ChaChi 被用于对法国地方政府当局的一系列攻击。然而，从那时起，该威胁经历了快速发展，其当前版本更具威胁性。

ChaChi 现在拥有完整的 RAT 功能——它可以建立一个到受感染系统的后门通道，泄露敏感数据，通过 Windows 本地安全机构子系统服务 (LSASS) 访问凭据，并在受害者的网络中横向移动。对于混淆，威胁使用公开可用的工具 gobfuscate，这是 GoLang 混淆的常见选择。

RAT的目标也发生了巨大的变化。 ChaChi 现在被用于针对美国大型学校和教育组织的勒索软件操作。

新的攻击行为支持了ChaChi是由PYSA/Mespinoza黑客组织开发的猜想。 PYSA 参与了多次勒索软件活动，联邦调查局已发出警告，称该组织此前对位于英国和美国的学校的攻击可能会增加。