Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Trojans Cheval de Troie ChaChi

Cheval de Troie ChaChi

Par Mezo en Trojans
Se traduisent par :
Français

ChaChi est une nouvelle menace RAT (Remote Access Trojan) qui a été découverte par des chercheurs de logiciels malveillants. Le malware est entièrement écrit en GoLang, une tendance récente parmi les cybercriminels qui montrent un changement notable par rapport aux langages C et C++ à la recherche de langages plus obscurs et plus difficiles à détecter. GoLang semble être le choix préféré avec une augmentation d'environ 2 000 % du nombre de menaces de logiciels malveillants utilisant la langue en quelques années seulement.

Le nom de la menace a été dérivé de deux outils standard - Chashell et Chisel. Le malware ChaChai utilise les versions modifiées des deux outils dans le cadre de son fonctionnement. Chashell est décrit comme un shell inverse sur un fournisseur DNS, tandis que Chisel agit comme un système de redirection de port.

L' évolution du cheval de Troie ChaChi

Les premiers échantillons de la menace détectés au premier semestre 2020 ont montré peu de sophistication, avaient un obscurcissement de base et des capacités limitées. À l'époque, ChaChi a été utilisé dans une série d'attaques contre les autorités gouvernementales locales en France. Depuis lors, cependant, la menace a connu un développement rapide et ses versions actuelles sont beaucoup plus menaçantes.

ChaChi possède désormais des fonctionnalités RAT complètes - il peut établir un canal de porte dérobée vers le système compromis, exfiltrer des données sensibles, accéder aux informations d'identification via le service de sous-système de l'autorité de sécurité locale de Windows (LSASS) et se déplacer latéralement dans le réseau de la victime. Pour l'obscurcissement, la menace utilise l'outil accessible au public gobfuscate qui est un choix courant pour l'obscurcissement GoLang.

Les cibles de la RAT ont également subi un changement drastique. ChaChi est maintenant utilisé dans des opérations de ransomware ciblant de grandes écoles et organisations éducatives américaines.

Le nouveau comportement d'attaque soutient l'hypothèse selon laquelle ChaChi a été développé par le groupe de hackers PYSA/Mespinoza. PYSA a été impliqué dans plusieurs campagnes de ransomware et le FBI a émis un avertissement concernant une augmentation potentielle des attaques du groupe contre des écoles situées au Royaume-Uni et aux États-Unis auparavant.

Tendance

Le plus regardé

Chargement...