一個用Go程式語言編寫的新木馬被用於勒索攻擊

被稱為ChaChi的惡意軟體，在2020年上半年被發現，遠端訪問木馬（RAT）的原始變體已經與針對法國地方政府當局的網路攻擊有關，但現在，一個更為複雜的變體已經出現。現有的最新樣本已與針對美國大型學校和教育機構發起的攻擊有關。

Go語言開發的惡意軟體

ChaChi是用GoLang（Go）編寫的，這種程式語言由於其通用性和跨平臺程式碼編譯的便利性，現在被攻擊者使用。

據Intezer稱，在過去幾年中，基於Go的惡意軟體樣本大約增加了2000%。據黑莓威脅研究和情報部門的研究團隊稱，由於這是一個新現象，許多核心分析工具仍在開發。這可能使分析Go的惡意軟體更具挑戰性。

命名

ChaChi之所以這樣命名，是因為Chashell和Chisel是惡意軟體在攻擊過程中使用的兩個現成的工具。Chashell是一個透過DNS提供的反向外殼，而Chisel是一個埠轉發系統。

能力

與ChaChi的第一個變種相比，該惡意軟體具有較差的混淆和低級別的攻擊能力，現在能夠執行典型的RAT活動，包括建立後門和資料滲透，以及透過Windows本地安全授權子系統服務（LSASS）進行證書轉儲、網路列舉、DNS隧道、SOCKS代理功能、服務建立和跨網路橫向移動。該惡意軟體使用一個可開源的GoLang工具gobfuscate進行混淆。

駭客組織PYSA

黑莓研究人員認為，該木馬是PYSA/Mespinoza的作品，該威脅組織以發起勒索軟體活動和使用副檔名而聞名。當受害者的檔案被加密時，PYSA代表 “保護你的系統Amigo”。

通常PYSA專注於 “獵殺大型遊戲”（ “big game hunting” ），並挑選那些能夠支付大筆贖金的目標。這些攻擊是有針對性的，由人類操作員控制，而不是自動化執行。