新型StilachiRAT利用复杂技术规避检测

2024年11月，微软研究人员发现了一种名为StilachiRAT的复杂远程访问木马（RAT），该木马设计用于隐蔽性、持久性和数据窃取。对其WWStartupCtrl64.dll模块的分析显示，该恶意软件支持复杂的功能，可以从浏览器中窃取凭证、数字钱包数据、剪贴板内容和系统信息。研究人员指出，StilachiRAT采用了先进的规避方法。

微软尚未将该恶意软件归因于特定的威胁行为者或地理位置，但这家IT巨头认为，目前该恶意软件尚未广泛传播。

“StilachiRAT收集广泛的系统信息，包括操作系统详细信息、设备标识符、BIOS序列号和摄像头存在情况。”微软发布的分析报告中写道。“信息通过基于组件对象模型（COM）的Web企业管理系统（WBEM）接口使用WMI查询语言（WQL）收集。”

该RAT通过Windows服务控制管理器（SCM）保持持久性，并采用监视线程在被移除时自动恢复自身。

一旦部署，StilachiRAT会扫描数十个加密货币钱包扩展的配置数据以窃取数字资产。该恶意软件针对以下扩展：Bitget Wallet、Trust Wallet、TronLink、MetaMask、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、ConfluxPortal、Plug。

StilachiRAT可以提取Chrome的加密密钥并使用Windows API解密以访问存储的凭证。它从SQLite数据库中检索登录数据并将其发送给攻击者。该恶意软件通过混淆的域名和二进制格式的IP与C2服务器通信，使用随机TCP端口（53、443或16000）。恶意代码试图通过延迟连接两小时并在存在tcpview.exe时终止来规避检测。连接后，它会向攻击者发送活动窗口列表。

该RAT监视RDP会话中的活动窗口和用户模拟，从而实现横向移动。

StilachiRAT通过清除日志、检查分析工具和混淆Windows API调用来规避检测。它将API名称编码为校验和，在运行时动态解析它们，同时使用XOR掩码查找表来阻碍分析。

该RAT执行各种C2命令，包括系统重启、日志清除、凭证窃取、应用程序执行和注册表修改。它可以显示对话框、建立或接受网络连接、终止自身、挂起系统并枚举打开的窗口。此外，该恶意软件还有一个专门用于窃取Google Chrome密码的命令，突显了其网络间谍和系统操纵能力。

报告中包含缓解措施以及入侵指标（IoCs）。

原文始发于微信公众号（黑猫安全）：新型StilachiRAT利用复杂技术规避检测