Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Trojans Troyano ChaChi

Troyano ChaChi

Por Mezo en Trojans
Traducir a:
Español

ChaChi es una nueva amenaza RAT (Troyano de acceso remoto) que fue descubierta por investigadores de malware. El malware está escrito en GoLang por completo, una tendencia reciente entre los ciberdelincuentes que muestran un cambio notable de los lenguajes C y C ++ en busca de los más oscuros y más difíciles de detectar. GoLang parece ser la opción preferida con un aumento de aproximadamente un 2,000% en la cantidad de amenazas de malware que utilizan el lenguaje en solo un par de años.

El nombre de la amenaza se derivó de dos herramientas listas para usar: Chashell y Chisel. El malware ChaChai utiliza las versiones modificadas de las dos herramientas como parte de su operación. Chashell se describe como un shell inverso sobre el proveedor de DNS, mientras que Chisel actúa como un sistema de reenvío de puertos.

La evolución del troyano ChaChi

Las muestras iniciales de la amenaza detectadas en la primera mitad de 2020 mostraron poca sofisticación, tenían ofuscación básica y capacidades limitadas. En ese entonces, ChaChi fue aprovechado en una serie de ataques contra las autoridades del gobierno local en Francia. Desde entonces, sin embargo, la amenaza ha experimentado un rápido desarrollo y sus versiones actuales son mucho más amenazantes.

ChaChi ahora posee funcionalidades RAT completas: puede establecer un canal de puerta trasera al sistema comprometido, exfiltrar datos confidenciales, acceder a las credenciales a través del Servicio de Subsistema de la Autoridad de Seguridad Local de Windows (LSASS) y moverse dentro de la red de la víctima lateralmente. Para la ofuscación, la amenaza emplea la herramienta gobfuscate disponible públicamente que es una opción común para la ofuscación de GoLang.

Los objetivos de la RAT también han sufrido un cambio drástico. ChaChi ahora se utiliza en operaciones de ransomware dirigidas a grandes escuelas y organizaciones educativas de EE. UU.

El nuevo comportamiento de ataque apoya la conjetura de que ChaChi fue desarrollado por el grupo de hackers PYSA / Mespinoza. PYSA ha estado involucrado en varias campañas de ransomware y el FBI ha emitido una advertencia sobre un posible aumento en los ataques del grupo contra escuelas ubicadas en el Reino Unido y Estados Unidos anteriormente.

Tendencias

Mas Visto

Cargando...