Дослідники Microsoft Incident Response виявили новий троян віддаленого доступу (RAT) StilachiRAT, орієнтований на крадіжку криптовалют і облікових даних користувачів.
Шкідливе ПЗ атакує 20 різних розширень у браузері Google Chrome, зокрема MetaMask, Coinbase Wallet, Trust Wallet, OKX Wallet, Bitget Wallet і Phantom. Паралельно StilachiRAT витягує і розшифровує збережені логіни та паролі.
Троян не просто заражає пристрої, але активно вивчає їх. Шкідлива програма збирає інформацію про систему, включно з даними про залізо, активні RDP-сесії, встановлені додатки, а також перевіряє наявність підключених камер. Крім того, фіксується поведінка користувачів, після чого вся інформація пересилається на командний сервер.
Однією з ключових загроз шкідника є його здатність закріплюватися в системі, маніпулюючи сервісами Windows. Це дає змогу зберегти контроль над пристроєм надовго, ускладнюючи процес виявлення і видалення.
StilachiRAT з’єднується з віддаленими командними серверами через TCP-порти 53, 443 і 16000. Це дає зловмисникам можливість запускати команди, включно з перезавантаженням системи, видаленням логів і управлінням реєстром. Троян використовує антикриміналістичні тактики, щоб уникнути виявлення, наприклад очищає журнали подій.
У Microsoft підкреслили, що StilachiRAT має високий рівень ризику. Для зниження ймовірності зараження рекомендується використовувати офіційні джерела для завантаження ПЗ, веббраузери з підтримкою SmartScreen і включати безпечні посилання для Office 365.
Користувачі Microsoft Defender XDR можуть звернутися до списку застосовних виявлень, включно з TrojanSpy: Win64/Stilachi.A, і використовувати запити пошуку для виявлення відповідної активності у своїх мережах.
Нагадаємо, 16 грудня 2024 року один із дослідників SlowMist повідомив, що код трояна macOS Stealer Trojan для біткойн-гаманців потрапив у відкритий доступ. За словами експерта, шкідник став безплатним і може бути використаний великою кількістю зловмисників.