Un nuovo trojan scritto nel linguaggio di programmazione Go è stato usato negli attacchi contro alcune scuole statunitensi.
Il malware che è stato soprannominato ChaChi viene utilizzato come componente chiave per lanciare attacchi ransomware.
ChaChi è scritto in GoLang (Go), un linguaggio di programmazione che ora è ampiamente utilizzato dagli haker a causa della sua versatilità e della facilità di compilazione
Secondo Intezer, c’è stato circa un aumento del 2,000% dei campioni di malware basati su Go negli ultimi anni.
ChaChi è stato utilizzato molto nella prima metà del 2020 e la variante originale del Trojan di accesso remoto (RAT) è stata collegata agli attacchi informatici contro le autorità governative locali francesi, ma ora è apparsa questa variante molto più sofisticata.
Gli ultimi esempi disponibili sono proprio collegati ad attacchi lanciati contro grandi scuole e organizzazioni educative degli Stati Uniti.
Rispetto alla prima variante di ChaChi, il malware è ora in grado di eseguire attività RAT tipiche, tra cui la creazione di backdoor e l’esfiltrazione dei dati, nonché il dumping delle credenziali tramite il servizio LSASS (Local Security Authority Subsystem Service) di Windows, l’enumerazione di rete, il tunneling DNS, la funzionalità proxy SOCKS, la creazione di servizi e il movimento laterale attraverso le reti.
Il malware utilizza uno strumento GoLang accessibile pubblicamente.
ChaChi è chiamato così a causa di Chashell e Chisel, due strumenti off-the-shelf utilizzati dal malware durante gli attacchi e modificati per questi scopi. Chashell è una shell inversa rispetto al provider DNS, mentre Chisel è un sistema di inoltro di porta.
I ricercatori di BlackBerry credono che il Trojan sia stato sviluppato da PYSA / Mespinoza, un gruppo noto per aver eseguito moltissime campagne ransomware.