更多全球网络安全资讯尽在邑安全
StilachiRAT:复杂的恶意软件以加密钱包和凭证为目标。它在未被发现的情况下,映射系统并窃取数据。Microsoft 建议采取强有力的安全措施。
微软事件响应团队发现了一种名为StilachiRAT的“复杂”新型远程访问木马(RAT),该木马在入侵目标系统、窃取数据并规避检测时不会引起任何怀疑。
与传统恶意软件不同,StilachiRAT不仅渗透系统,还会对其进行全面映射和利用。它收集详细的系统信息,包括硬件标识符、活动的远程桌面协议(RDP)会话、BIOS序列号以及摄像头状态。此外,它还会收集已安装软件、活动应用程序和用户行为的数据,并将这些信息发送到命令与控制(C2)服务器。
针对浏览器凭证与加密货币钱包的攻击
StilachiRAT专门针对加密货币钱包,扫描Google Chrome中的20种不同钱包扩展程序以窃取数字资产。不仅如此,它还会提取并解密浏览器中存储的用户名和密码等敏感凭证。
其危险性还在于其持久性能力——通过巧妙地操纵Windows服务,长期控制受感染系统,使其更难以检测和清除。
命令与控制连接及远程执行
根据微软的博客文章,StilachiRAT通过TCP端口53、443或16000与远程C2服务器建立通信,从而实现远程命令执行,并可能允许攻击者在网络内横向移动。
该恶意软件支持从C2服务器接收多种命令,包括系统重启、日志清除、注册表操作、应用程序执行和系统挂起。它还采用反取证策略,例如清除事件日志和检测分析工具,以规避检测。
缓解措施与防护建议
微软将StilachiRAT归类为复杂恶意软件。因此,为防止感染StilachiRAT,建议用户从官方来源下载软件,使用支持SmartScreen的浏览器,并为Office 365启用安全链接和安全附件功能。
企业还可以实施多种强化措施,包括启用篡改保护、以阻止模式运行端点检测与响应(EDR),以及配置全自动模式的调查和修复功能。
微软Defender XDR客户可以参考相关检测列表(如TrojanSpy:Win64/Stilachi.A),并使用狩猎查询来识别其网络中的相关活动。
原文来自: hackread.com
原文链接: https://hackread.com/stilachirat-exploits-chrome-crypto-wallets-credentials/
原文始发于微信公众号(邑安全):StilachiRAT恶意软件利用Chrome漏洞窃取加密货币钱包及凭证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论