Недавно Microsoft раскрыла новый тип удаленного доступа трояна (RAT) под названием StilachiRAT, который специально нацелен на расширения криптовалютных кошельков в Chrome, чтобы красть данные пользователей и похищать криптоактивы.
С ноября 2024 года эксперты по безопасности расследуют источник этого вредоносного ПО и предупреждают, что оно представляет собой серьезную угрозу безопасности активов владельцев криптовалют.
Логика работы вредоносного ПО
В отчете говорится, что StilachiRAT способен не только извлекать учетные данные, хранящиеся в браузере, сканировать устройства для поиска расширений криптовалютных кошельков, но и перехватывать такие чувствительные данные, как закрытые ключи и пароли. Это вредоносное ПО нацелено на как минимум 20 криптовалютных кошельков, включая Bitget Wallet, Trust Wallet, Coinbase Wallet, MetaMask, TronLink, BNB Chain Wallet и OKX Wallet. После развертывания оно может красть хранящиеся цифровые активы, получая доступ к данным из буфера обмена и извлекая личные учетные данные.
Исследование показало, что StilachiRAT не только работает скрытно, но и использует различные методы уклонения, чтобы избежать обнаружения. Он сам устанавливается через зараженный библиотечный файл WWStartupCtrl64.dll и выполняет удаленные команды для манипуляции зараженной системой. Как только он активируется, он сканирует расширения криптовалютных кошельков на устройстве и извлекает сохраненные учетные данные из локального файла состояния Google Chrome.
Кроме того, одной из ключевых функций этого вредоносного ПО является мониторинг активности буфера обмена, что означает, что если пользователь копирует и вставляет адрес или пароль криптовалютного кошелька, StilachiRAT может захватить эту информацию и перенаправить ее злоумышленнику.
Исследование также показало, что этот троян обладает функцией противоотчетности, такой как очистка журналов событий и обнаружение песочницы, чтобы избежать анализа со стороны исследователей в области кибербезопасности.
Активная профилактика и рекомендации по безопасности
На данный момент Microsoft не связывает эту атаку с какой-либо конкретной хакерской организацией, но предупреждает, что из-за природы экосистемы вредоносного ПО StilachiRAT может быстро развиваться и распространяться.
Microsoft в блоге заявила, что на основе текущей видимости это вредоносное ПО еще не проявило широкого распространения, но его скрытность и быстро меняющаяся экосистема вредоносного ПО требуют от них делиться этими находками как частью постоянного мониторинга, анализа и отчетности о развивающейся угрозе.
Кроме того, чтобы избежать становления жертвой StilachiRAT и подобных угроз, Microsoft рекомендует установить антивирусное ПО, включить облачную защиту от фишинга и вредоносного ПО и убедиться, что все расширения браузера поступают из надежных источников.
В то же время пользователи должны быть осторожны при копировании и вставке адресов кошелька и паролей, так как вредоносное ПО, такое как StilachiRAT, специально использует данные из буфера обмена.
Заключение:
В эту эпоху стремительного развития хакерских технологий вызовы кибербезопасности в области криптовалют становятся все более серьезными. Открытие Microsoft не только бьет тревогу, но и напоминает инвесторам и повседневным пользователям о необходимости оставаться бдительными и защищать свою конфиденциальность и безопасность цифровых активов.
В то же время, инвесторы, независимо от того, используют ли они антивирусное ПО, осторожно выбирая расширения браузера, или избегают копирования и вставки чувствительной информации при работе с кошельком, должны принимать проактивные меры безопасности для защиты цифровых активов. В мире криптовалют безопасность всегда является первой линией защиты.
