StilachiRAT恶意软件利用Chrome漏洞窃取加密货币钱包及凭证

StilachiRAT：复杂的恶意软件以加密钱包和凭证为目标。它在未被发现的情况下，映射系统并窃取数据。Microsoft 建议采取强有力的安全措施。

微软事件响应团队发现了一种名为StilachiRAT的“复杂”新型远程访问木马（RAT），该木马在入侵目标系统、窃取数据并规避检测时不会引起任何怀疑。

与传统恶意软件不同，StilachiRAT不仅渗透系统，还会对其进行全面映射和利用。它收集详细的系统信息，包括硬件标识符、活动的远程桌面协议（RDP）会话、BIOS序列号以及摄像头状态。此外，它还会收集已安装软件、活动应用程序和用户行为的数据，并将这些信息发送到命令与控制（C2）服务器。

针对浏览器凭证与加密货币钱包的攻击

StilachiRAT专门针对加密货币钱包，扫描Google Chrome中的20种不同钱包扩展程序以窃取数字资产。不仅如此，它还会提取并解密浏览器中存储的用户名和密码等敏感凭证。

其危险性还在于其持久性能力——通过巧妙地操纵Windows服务，长期控制受感染系统，使其更难以检测和清除。

命令与控制连接及远程执行

根据微软的博客文章，StilachiRAT通过TCP端口53、443或16000与远程C2服务器建立通信，从而实现远程命令执行，并可能允许攻击者在网络内横向移动。

该恶意软件支持从C2服务器接收多种命令，包括系统重启、日志清除、注册表操作、应用程序执行和系统挂起。它还采用反取证策略，例如清除事件日志和检测分析工具，以规避检测。

缓解措施与防护建议

微软将StilachiRAT归类为复杂恶意软件。因此，为防止感染StilachiRAT，建议用户从官方来源下载软件，使用支持SmartScreen的浏览器，并为Office 365启用安全链接和安全附件功能。

企业还可以实施多种强化措施，包括启用篡改保护、以阻止模式运行端点检测与响应（EDR），以及配置全自动模式的调查和修复功能。

微软Defender XDR客户可以参考相关检测列表（如TrojanSpy:Win64/Stilachi.A），并使用狩猎查询来识别其网络中的相关活动。

原文来自: hackread.com