微软发现复杂木马 StilachiRAT 利用 Chrome 窃取加密钱包和凭证

微软的事件响应团队发现了一种被称为 StilachiRAT 的“复杂”新型远程访问木马 ( RAT )，它可以入侵目标系统、窃取数据并在不引起任何怀疑的情况下逃避检测。

与传统恶意软件不同，StilachiRAT 木马不仅会渗透系统，还会映射和利用系统。它会收集详细的系统信息，从硬件标识符到活动的 RDP 会话、BIOS 序列号和摄像头状态。它还会收集已安装软件、活动应用程序和用户行为的数据，然后将其发送到命令和控制 (C2) 服务器。

瞄准浏览器获取凭证、钱包获取加密货币

StilachiRAT 专门搜索加密货币钱包，扫描Google Chrome中的 20 种不同的钱包扩展程序以窃取数字资产。StilachiRAT 还瞄准敏感凭证，从网络浏览器中提取和解密存储的用户名和密码。

更危险的是它能够保持持久性，巧妙地操纵 Windows 服务来长期控制受感染的系统，使其更难被检测和删除。

命令与控制连接和远程执行

根据微软的博客文章，StilachiRAT 使用 TCP 端口 53、443 或 16000 与远程 C2 服务器建立通信，从而实现远程命令执行并可能允许攻击者在网络内横向移动。

该恶意软件支持来自 C2 服务器的一系列命令，包括系统重启、日志清除、注册表操作、应用程序执行和系统暂停。它还采用反取证策略（例如清除事件日志和检测分析工具）来避免被发现。

缓解措施和保护措施

Microsoft 将 StilachiRAT 评定为高级恶意软件。因此，为了防止 StilachiRAT 感染，建议用户从官方来源下载软件、使用支持 SmartScreen 的网络浏览器，并为Office 365启用安全链接和安全附件。

组织还可以实施各种强化指南，包括启用防篡改保护、以阻止模式运行端点检测和响应、以及以全自动模式配置调查和补救。

技术报告：

https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/

新闻链接：

https://hackread.com/stilachirat-exploits-chrome-crypto-wallets-credentials/