Дослідники Microsoft Incident Response виявили новий троян віддаленого доступу (RAT), відомий як StilachiRAT, який призначений для крадіжки криптовалют і облікових даних користувачів.
Ця шкідлива програма націлена на 20 різних розширень у браузері Google Chrome, включаючи MetaMask, Coinbase Wallet, Trust Wallet, OKX Wallet, Bitget Wallet і Phantom. Одночасно StilachiRAT отримує та розшифровує збережені імена користувачів і паролі.
Троян не тільки заражає пристрої, а й активно їх аналізує. Зловмисне програмне забезпечення збирає інформацію про систему, наприклад характеристики апаратного забезпечення, активні сеанси RDP , встановлене програмне забезпечення та перевіряє підключені камери. Крім того, він записує дії користувача, після чого вся зібрана інформація передається на командний сервер.
Значною загрозою, яку створює зловмисне програмне забезпечення, є його здатність вбудовуватися в систему, маніпулюючи службами Windows. Це дає йому змогу підтримувати тривалий контроль над пристроєм, що ускладнює виявлення та видалення.
StilachiRAT підключається до віддалених командно-контрольних серверів за допомогою TCP-портів 53, 443 і 16000. Це дозволяє зловмисникам виконувати такі команди, як перезавантаження системи, видалення журналів і зміна реєстру. Троян використовує антикриміналістичні методи, щоб уникнути виявлення, включаючи очищення журналів подій.
Microsoft підкреслила, що StilachiRAT класифікується як зловмисне програмне забезпечення високого ризику. Щоб мінімізувати ймовірність зараження, користувачам рекомендується завантажувати програмне забезпечення з офіційних джерел, використовувати веб-браузери, які підтримують SmartScreen, і активувати безпечні посилання для Office 365.
Користувачі Microsoft Defender XDR можуть переглядати список застосовних виявлень, який включає TrojanSpy: Win64/Stilachi.A, і можуть використовувати пошукові запити, щоб точно визначити відповідну активність у своїх мережах.
Нагадаємо, 16 грудня 2024 року один із дослідників SlowMist повідомив, що код трояна macOS Stealer, націленого на біткоін-гаманці, оприлюднили. За словами експерта, ця шкідлива програма була випущена безкоштовно і може використовуватися численними зловмисниками.