StilachiRAT: опасный троян, охотящийся за криптокошельками и учетными данными

StilachiRAT — это сложный троян удаленного доступа, впервые обнаруженный исследователями Microsoft в ноябре 2024 года. Хотя его распространение остается ограниченным, его возможности представляют серьезную угрозу для пользователей криптовалютных кошельков.

Масштаб распространения

На данный момент StilachiRAT не получил широкого распространения и нацелен на определенные системы, преимущественно в азиатском регионе. Однако его продвинутые функции делают его потенциально опасным для более широкой аудитории.

Целевые криптовалютные кошельки

StilachiRAT нацелен на 20 популярных расширений для браузера Google Chrome, связанных с криптовалютными кошельками:

• Bitget Wallet (ранее BitKeep)
• Trust Wallet
• TronLink
• MetaMask (Ethereum)
• TokenPocket
• BNB Chain Wallet
• OKX Wallet
• Sui Wallet
• Braavos – Starknet Wallet
• Coinbase Wallet
• Leap Cosmos Wallet
• Manta Wallet
• Keplr
• Phantom
• Compass Wallet for Sei
• Math Wallet
• Fractal Wallet
• Station Wallet
• ConfluxPortal
• Plug

Механизм атаки на кошельки

После установки StilachiRAT сканирует конфигурационные данные указанных расширений в реестре Windows по пути: \SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings. Обнаружив установленные расширения, троян извлекает из них конфиденциальные данные, включая учетные записи и информацию о цифровых кошельках. Кроме того, StilachiRAT способен похищать данные из буфера обмена и собирать системную информацию, такую как аппаратная конфигурация, наличие веб-камеры и активные сеансы удаленного рабочего стола (RDP).

Меры противодействия анализу

StilachiRAT обладает продвинутыми механизмами противодействия анализу:

• Очищает журналы событий Windows.
• Определяет, работает ли он в песочнице или среде анализа.
• Использует динамическое разрешение вызовов API, что затрудняет его исследование.

Антивирусное обнаружение

Microsoft Defender детектирует этот троян как TrojanSpy:Win64/Stilachi.A. Информация о детектировании другими антивирусами, включая Kaspersky, пока недоступна. Рекомендуется поддерживать актуальные базы данных всех современных антивирусов.

Рекомендации по защите

• Технические меры безопасности:
  • Включение SmartScreen в браузерах.
  • Использование Safe Links и Safe Attachments в Office 365.
  • Активация облачной защиты Microsoft Defender.
  • Включение защиты в реальном времени.
• Пользовательские рекомендации:
  • Скачивать ПО только с официальных сайтов.
  • Регулярно обновлять программное обеспечение.
  • Использовать надежные уникальные пароли.
  • Включить двухфакторную аутентификацию для криптокошельков.

Индикаторы компрометации

• SHA-256: 394743dd67eb018b02e069e915f64417bc1cd8b33e139b92240a8cf45ce10fcb (WWStartupCtrl64.dll)
• IP-адрес C&C: 194.195.89[.]47
• Домен C&C: app.95560[.]cc

Наше Резюме

Несмотря на ограниченное распространение, StilachiRAT представляет серьезную угрозу для владельцев криптовалютных кошельков благодаря своим продвинутым возможностям кражи данных и механизмам сокрытия. Особенно опасен для пользователей из Азии, где популярны такие блокчейны, как Tron. Рекомендуется повышать бдительность при работе с криптовалютными кошельками и конфиденциальными данными.