Microsoft попереджає про крипто трояни
Дослідники Microsoft Incident Response виявили новий троян віддаленого доступу (RAT) під назвою StilachiRAT, який зосереджений на крадіжці криптовалют і облікових даних користувачів.
Зловмисне програмне забезпечення атакує 20 різних розширень у браузері Google Chrome, включаючи MetaMask, Coinbase Wallet, Trust Wallet, OKX Wallet, Bitget Wallet і Phantom. Паралельно StilachiRAT витягує та розшифровує збережені логіни та паролі.
Троян не просто заражає пристрої, а активно їх вивчає. Шкідливе програмне забезпечення збирає інформацію про систему, включаючи дані про обладнання, активні RDP-сесії, встановлені програми, а також перевіряє наявність підключених камер. Крім того, фіксується поведінка користувача, після чого вся інформація відправляється на C&C-сервер.
Однією з ключових загроз зловмисного програмного забезпечення є його здатність закріпитися в системі шляхом маніпулювання службами Windows. Це дозволяє зберігати контроль над пристроєм протягом тривалого часу, ускладнюючи його виявлення та видалення.
StilachiRAT підключається до віддалених C&C-серверів через порти TCP 53, 443 і 16000. Це дає зловмисникам можливість виконувати команди, включаючи перезавантаження системи, видалення журналів і управління реєстром. Троян використовує антикриміналістичну тактику, щоб уникнути виявлення, наприклад, очищає журнали подій.
У Microsoft наголосили, що StilachiRAT має високий рівень ризику. Щоб знизити ймовірність зараження, рекомендуємо використовувати офіційні джерела для завантаження програмного забезпечення, веб-браузери, які підтримують SmartScreen, а також увімкнути функцію “Безпечні посилання для Office 365”.
Користувачі Microsoft Defender XDR можуть отримати доступ до списку застосовних виявлених об’єктів, включаючи TrojanSpy:Win64/Stilachi.A, і використовувати пошукові запити для визначення відповідної активності у своїх мережах.
Нагадаємо, що 16 грудня 2024 року один із дослідників SlowMist повідомив, що код трояна macOS Stealer для біткоїн-гаманців став загальнодоступним. За словами експерта, шкідливе програмне забезпечення стало безкоштовним і може використовуватися великою кількістю зловмисників.