Исследователи Microsoft Incident Response обнаружили новый троян удаленного доступа (RAT) StilachiRAT, ориентированный на кражу криптовалют и учетных данных пользователей.
Вредоносное ПО атакует 20 различных расширений в браузере Google Chrome, включая MetaMask, Coinbase Wallet, Trust Wallet, OKX Wallet, Bitget Wallet и Phantom. Параллельно StilachiRAT извлекает и расшифровывает сохраненные логины и пароли.
Троян не просто заражает устройства, но активно изучает их. Вредоносная программа собирает информацию о системе, включая данные о железе, активных RDP-сессиях, установленных приложениях, а также проверяет наличие подключенных камер. Кроме того, фиксируется поведение пользователей, после чего вся информация пересылается на командный сервер.
Одной из ключевых угроз вредоноса является его способность закрепляться в системе, манипулируя сервисами Windows. Это позволяет сохранить контроль над устройством надолго, усложняя процесс обнаружения и удаления.
StilachiRAT соединяется с удаленными командными серверами через TCP-порты 53, 443 и 16 000. Это дает злоумышленникам возможность запускать команды, включая перезагрузку системы, удаление логов и управление реестром. Троян использует антикриминалистические тактики, чтобы избежать обнаружения, например очищает журналы событий.
В Microsoft подчеркнули, что StilachiRAT обладает высоким уровнем риска. Для снижения вероятности заражения рекомендуется использовать официальные источники для загрузки ПО, веб-браузеры с поддержкой SmartScreen и включать безопасные ссылки для Office 365.
Пользователи Microsoft Defender XDR могут обратиться к списку применимых обнаружений, включая TrojanSpy:Win64/Stilachi.A, и использовать запросы поиска для выявления соответствующей активности в своих сетях.
19 марта 2025 | 12:26Апдейт:
В комментарии для ForkLog представители криптобиржи Bitget уточнили, что не обнаружили в Bitget Wallet уязвимостей, связанных с StilachiRAT. Тем не менее они призвали пользователей «предпринимать проактивные меры для защиты своих активов».
«Для повышения уровня безопасности Bitget Wallet рекомендует пользователям проявлять осторожность при переходе по ссылкам и загрузке файлов, избегать копирования и вставки приватных ключей, включать биометрическую аутентификацию, регулярно обновлять антивирусное ПО — включая Windows Defender, который теперь обнаруживает Win64/Stilachi.A, — и всегда проверять адреса кошельков перед подтверждением транзакций, чтобы предотвратить перехват данных из буфера обмена», — подчеркнули в Bitget.
Напомним, 16 декабря 2024 года один из исследователей SlowMist сообщил, что код трояна macOS Stealer Trojan для биткоин-кошельков попал в открытый доступ. По словам эксперта, вредонос стал бесплатным и может быть использован большим числом злоумышленников.
https://forklog.com/news/v-telegram-botah-nashli-vredonosnoe-po-dlya-krazhi-kriptovalyut
