微软警告新型 StilachiRAT 恶意软件

微软安全事件响应团队于 2024 年 11 月首次发现StilachiRAT。虽然目前看来它并没有广泛传播，但该公司希望警告用户和组织。

微软尚未将 StilachiRAT（被描述为远程访问木马）与任何已知威胁组织或特定国家联系起来。

该公司尚未具体说明 RAT 是如何传播的，但指出此类威胁可以通过多种攻击媒介安装，包括木马软件、恶意网站和电子邮件。

一旦部署到设备上，恶意软件就会收集有关系统的信息，以便进行详细的分析。然后，StilachiRAT 会扫描系统，查找与 20 个不同的加密货币钱包 Chrome 扩展程序相关的配置数据。

RAT 提取存储在 Chrome 中的用户名和密码，并持续监视剪贴板内容以获取凭证和加密货币密钥等有价值的信息。

该恶意软件还可以监视 RDP 会话，这可能允许攻击者在受感染的网络内横向移动。

据微软称，StilachiRAT 可以执行各种命令，包括重新启动系统、清除日志、操纵注册表项和执行应用程序。

为了保持持久性，该恶意软件使用 Windows 服务控制管理器和看门狗线程来确保在被删除时能够恢复。

该 RAT 还具有反取证和逃避能力。

StilachiRAT 通过清除事件日志和检查某些系统条件来逃避检测，从而表现出反取证行为。这包括循环检查分析工具和沙盒计时器，以防止其在常用于恶意软件分析的虚拟环境中完全激活。

“此外，Windows API 调用以多种方式进行混淆，并使用自定义算法对许多文本字符串和值进行编码。这大大减慢了分析时间，因为推断更高级别的逻辑和代码设计变得更加复杂。”微软解释说：“该恶意软件采用 API 级混淆技术来阻碍手动分析，特别是通过隐藏其对 Windows API 的使用。”

技术报告：

https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/

新闻链接：

https://www.securityweek.com/microsoft-warns-of-new-stilachirat-malware/

讲述普通人能听懂的安全故事