PYSA Gang 使用 ChaChi 木马传播勒索软件
勒索软件团伙通常依靠广泛的恶意软件家族来完全控制受感染的系统,并在整个网络中横向传播。最近在其武器库中引入新木马的勒索软件团伙之一是 PYSA Ransomware 或 Mespinoza Ransomware 团伙。据称,他们正在使用一种以前未被发现的名为 ChaChi 的木马。它已被用于攻击在政府和教育部门运营的美国实体。
就像许多其他恶意软件开发人员一样,PYSA 团伙也决定依赖 Golang 编程语言。越来越多的网络犯罪分子使用 Golang,因为从技术上讲,它的恶意行为更难以检测。这增加了 PYSA 团伙逃避防病毒工具和其他网络安全产品的几率。
但是ChaChi木马有什么作用呢?
ChaChi 木马似乎是一个开发良好的项目,它具有远程访问木马 (RAT) 的典型特征和属性。该威胁能够通过滥用 Windows 注册表项以及任务调度服务在受感染的 Windows 机器上获得持久性.此外,其操作员还能够访问和操纵文件系统、窃取凭据、创建代理服务器、执行远程命令等。
尽管有所有这些奇特的功能,但最近涉及 ChaChi 木马的许多攻击都有一个最终目标——植入勒索软件。当然,PYSA 团伙在这些攻击中使用了他们自己的勒索软件。犯罪分子不会针对普通消费者,而是将目光投向高价值目标,这些目标可能会选择支付数十万美元来取回他们的数据。
可能会通过欺诈性电子邮件接近 ChaChi 木马的目标,要求他们查看附件或下载文件。员工必须小心随机发送的电子邮件,要求他们与附件进行交互。此外,他们的工作站应该定期打补丁,并由值得信赖的防病毒工具保护。