Das Incident-Response-Team von Microsoft hat einen neuen Remote-Access-Trojaner (RAT) identifiziert, der darauf abzielt, Kryptowährungsbestände durch das Angreifen digitaler Wallet-Erweiterungen zu kompromittieren. Die Malware, die als StilachiRAT bezeichnet wird, kann Systemdaten sammeln, Anmeldeinformationen stehlen und Daten aus Kryptowährungs-Wallets plattformübergreifend extrahieren.
Der Trojaner zielt speziell auf mindestens 20 beliebte Kryptowährungs-Wallet-Erweiterungen für Google Chrome, darunter weit verbreitete Optionen wie Metamask, Trust Wallet, Coinbase Wallet und Phantom. Die Untersuchung von Microsoft zeigte die Fähigkeit der Malware, auf Registrierungseinstellungen zuzugreifen, um zu überprüfen, welche Erweiterungen installiert sind. Sobald dies identifiziert ist, kann sie sensible Daten extrahieren und potenziell den Angreifern Zugang zu den digitalen Vermögenswerten der Opfer verschaffen.
"StilachiRAT zielt auf eine Liste spezifischer Kryptowährungs-Wallet-Erweiterungen für den Google Chrome-Browser. Es greift auf die Einstellungen im folgenden Registrierungsschlüssel zu und überprüft, ob eine der Erweiterungen installiert ist,“ erklärte Microsoft in seinem Sicherheitsbulletin vom 17. März. Obwohl die Malware noch nicht weit verbreitet ist, äußern Sicherheitsfachleute erhebliche Besorgnis über ihre Raffinesse und potenzielle Auswirkungen.
Die Malware beginnt ihren Angriffszyklus mit einer Aufklärungsphase, in der sie Informationen über das Betriebssystem des Opfers, Hardwarekennungen und aktive Sitzungen sammelt. Anschließend konzentriert sie sich auf den Diebstahl von Anmeldeinformationen, zielt dabei auf gespeicherte Passwörter in Chrome ab und überwacht Zwischenablagedaten, wo Benutzer oft sensible Informationen wie Wallet-Schlüssel oder Passwörter kopieren. Dieser mehrstufige Ansatz ermöglicht es Angreifern, umfassende Daten zu sammeln, bevor sie einen Diebstahl initiieren.
Das Sicherheitsteam von Microsoft hob besonders besorgniserregend die fortschrittlichen Anti-Forensik-Fähigkeiten von StilachiRAT hervor. Der Trojaner kann Ereignisprotokolle löschen und Systembedingungen bewerten, um Erkennungsmechanismen zu vermeiden. Diese Ausweichtechniken machen die Identifizierung und Entfernung für Standard-Sicherheitstools erheblich herausfordernder.
Zur Risikominderung rät Microsoft Anwendern, sofort mehrere Sicherheitsmaßnahmen umzusetzen. „In einigen Fällen können Remote-Access-Trojaner als legitime Software oder Software-Updates getarnt sein. Laden Sie Software immer von der offiziellen Website des Softwareentwicklers oder von seriösen Quellen herunter,“ betonte Microsoft in seinem Advisory. Das Unternehmen empfiehlt auch, Echtzeitschutz in Microsoft Defender zu aktivieren und Browser mit SmartScreen zu nutzen, um bösartige Websites zu blockieren.
Zu den weiteren Sicherheitsempfehlungen gehören die Aktivierung der Multi-Faktor-Authentifizierung für alle Konten und die Aktualisierung von Software auf allen Anwendungen. Diese grundlegenden Sicherheitspraktiken können die Anfälligkeit für diese und ähnliche Bedrohungen erheblich reduzieren.
Die Entdeckung erfolgt inmitten wachsender Besorgnis über kryptowährungsbezogene Kriminalität. Laut dem Crypto Crime Trends-Bericht 2025 von Chainalysis liegen illegale Kryptowährungstransaktionen derzeit zwischen 40 und 50 Milliarden Dollar jährlich. Diese Gelder werden durch verschiedene Methoden erworben, darunter Ransomware-Angriffe, ausgeklügelte Malware-Operationen und andere Cyberkriminalitätsaktivitäten.
Der Bericht prognostiziert ferner, dass das Volumen illegaler Kryptotransaktionen im Jahr 2024 51 Milliarden Dollar übersteigen könnte, was einem durchschnittlichen jährlichen Anstieg von 25 % zwischen den Berichterstattungsperioden entspricht. Dieser Trend weist auf eine zunehmende Raffinesse bei Angriffen hin, die auf digitale Vermögenswerte abzielen, während die Krypto-Adoption weltweit weiter expandiert.
Sicherheitsanalysten betonen, dass Nutzer mit zunehmender Verbreitung von Kryptowährungsbeständen mit immer gezielteren Angriffen rechnen sollten, die darauf abzielen, diese Vermögenswerte zu kompromittieren. Die Entdeckung von StilachiRAT stellt eine bedeutende Weiterentwicklung der Taktiken dar, die von Cyberkriminellen verwendet werden, um Kryptowährungshalter auszunutzen.