Microsoft ha anunciado un nuevo troyano de acceso remoto (RAT) llamado StilachiRAT que roba los datos de las carteras de criptomonedas. Ya se sabe que los datos de los usuarios corren peligro Google Chrome con extensiones instaladas Los 20 monederos más populares. Aquí tienes una lista de monederos y su ID de extensión de Chrome:
StilachiRAT se detectó por primera vez en noviembre de 2024. El malware recopila información completa del sistema, incluido el sistema operativo (SO), identificadores de hardware, presencia de cámaras, sesiones activas del protocolo de escritorio remoto (RDP) y aplicaciones de interfaz gráfica de usuario (GUI) en ejecución. Esto permite al troyano construir un perfil detallado del sistema.
A continuación, escanea los datos de configuración de 20 extensiones diferentes de monederos criptográficos del navegador Google Chrome. A continuación, extrae y descifra las credenciales almacenadas de Google Chrome, lo que le permite acceder a los nombres de usuario y contraseñas almacenados en el navegador.
StilachiRAT se comunica con servidores remotos utilizando los puertos TCP 53, 443 o 16000, lo que le permite ejecutar comandos remotos y utilizar potencialmente servidores proxy como SOCKS.
Además de robar datos para acceder al monedero de la víctima, el troyano puede reiniciar el sistema de forma remota, borrar el registro, manipular el registro, lanzar aplicaciones y hacer muchas otras cosas desagradables. Al mismo tiempo, borra los registros de eventos, detecta las herramientas de análisis y las elude para evitar su detección.
Microsoft no especificó cómo se propaga la RAT. Sin embargo, los desarrolladores de la criptocartera Phantom recuerda reglas básicas:
Fuente: Microsoft