ChaChi Trojan

ChaChi 是惡意軟件研究人員發現的一種新的 RAT（遠程訪問木馬）威脅。該惡意軟件完全是用 GoLang 編寫的，這是最近網絡犯罪分子的一種趨勢，他們明顯從 C 和 C++ 語言轉向尋找更隱蔽、更難被檢測到的語言。 GoLang 似乎是首選，在短短幾年內，使用該語言的惡意軟件威脅數量增加了約 2,000%。

威脅的命名源自兩個現成的工具 - Chashell 和 Chisel。 ChaChai 惡意軟件使用這兩個工具的修改版本作為其操作的一部分。 Chashell 被描述為 DNS 提供商的反向 shell，而 Chisel 充當端口轉發系統。

ChaChi木馬的演變

2020 年上半年檢測到的威脅的初始樣本顯示不復雜，基本混淆，功能有限。當時，ChaChi 被用於對法國地方政府當局的一系列攻擊。然而，從那時起，該威脅經歷了快速發展，其當前版本更具威脅性。

ChaChi 現在擁有完整的 RAT 功能——它可以建立一個到受感染系統的後門通道，洩露敏感數據，通過 Windows 本地安全機構子系統服務 (LSASS) 訪問憑據，並在受害者的網絡中橫向移動。對於混淆，威脅使用公開可用的工具 gobfuscate，這是 GoLang 混淆的常見選擇。

RAT的目標也發生了巨大的變化。 ChaChi 現在被用於針對美國大型學校和教育組織的勒索軟件操作。

新的攻擊行為支持了ChaChi是由PYSA/Mespinoza黑客組織開發的猜想。 PYSA 參與了多次勒索軟件活動，聯邦調查局已發出警告，稱該組織此前對位於英國和美國的學校的攻擊可能會增加。