Il team di risposta agli incidenti di Microsoft ha identificato un nuovo trojan di accesso remoto (RAT) progettato per compromettere i portafogli di criptovaluta prendendo di mira le estensioni dei portafogli digitali. Il malware, denominato StilachiRAT, può raccogliere informazioni di sistema, rubare credenziali di accesso ed estrarre dati da portafogli di criptovaluta su più piattaforme.
Il trojan prende di mira specificamente almeno 20 popolari estensioni di portafogli di criptovaluta per Google Chrome, inclusi opzioni ampiamente utilizzate come Metamask, Trust Wallet, Coinbase Wallet e Phantom. L'indagine di Microsoft ha rivelato la capacità del malware di accedere ai settaggi di registro per verificare quali estensioni sono installate. Una volta identificate, può estrarre dati sensibili che potrebbero dare agli aggressori accesso agli asset digitali delle vittime.
«StilachiRAT prende di mira una lista specifica di estensioni di portafogli di criptovaluta per il browser Google Chrome. Accede alle impostazioni nella seguente chiave di registro e verifica se alcune delle estensioni sono installate», ha dichiarato Microsoft nel suo bollettino di sicurezza del 17 marzo. Sebbene il malware non abbia ancora raggiunto una distribuzione capillare, gli esperti di sicurezza esprimono una significativa preoccupazione per la sua sofisticazione e impatto potenziale.
Il malware inizia il suo ciclo d'attacco con una fase di ricognizione in cui raccoglie informazioni sul sistema operativo della vittima, identificatori hardware e sessioni attive. Si concentra poi sul furto di credenziali, prendendo di mira le password memorizzate in Chrome e monitorando i dati degli appunti dove gli utenti copiano frequentemente informazioni sensibili come chiavi di portafoglio o password. Questo approccio multi-fase consente agli aggressori di raccogliere dati completi prima di avviare qualsiasi furto.
Il team di sicurezza di Microsoft ha evidenziato le capacità anti-forensi avanzate di StilachiRAT come particolarmente preoccupanti. Il trojan può eliminare i registri degli eventi e valutare le condizioni del sistema per evitare i meccanismi di rilevamento. Queste tecniche evasive rendono l'identificazione e la rimozione significativamente più difficili per gli strumenti di sicurezza standard.
Per mitigare i rischi, Microsoft consiglia agli utenti di implementare immediatamente diverse misure di sicurezza. «In alcuni casi, i trojan di accesso remoto possono mascherarsi come software legittimi o aggiornamenti software. Scaricare sempre il software dal sito ufficiale dello sviluppatore del software o da fonti affidabili», ha enfatizzato Microsoft nel suo avviso. La compagnia raccomanda inoltre di attivare la protezione in tempo reale di Microsoft Defender e di utilizzare browser con SmartScreen per aiutare a bloccare i siti web dannosi.
Altre raccomandazioni di sicurezza includono l'abilitazione dell'autenticazione multi-fattoriale per tutti gli account e il mantenimento degli aggiornamenti software attuali su tutte le applicazioni. Queste pratiche di sicurezza fondamentali possono ridurre sostanzialmente la vulnerabilità a questa e simili minacce.
La scoperta avviene in un momento di crescenti preoccupazioni riguardo alla criminalità correlata alle criptovalute. Secondo il rapporto «Crypto Crime Trends 2025» di Chainalysis, le transazioni di criptovaluta illecite attualmente variano tra i 40 e i 50 miliardi di dollari all'anno. Questi fondi sono acquisiti attraverso vari metodi, inclusi attacchi ransomware, operazioni di malware sofisticato e altre attività criminali informatiche.
Il rapporto proietta inoltre che il volume delle transazioni crypto illecite nel 2024 potrebbe superare i 51 miliardi di dollari, rappresentando un aumento medio annuo del 25% tra i periodi di rapporto. Questa tendenza indica una crescente sofisticazione negli attacchi mirati agli asset digitali mentre l'adozione delle criptovalute continua ad espandersi a livello mondiale.
Gli analisti di sicurezza sottolineano che man mano che i portafogli di criptovaluta diventano più comuni, gli utenti dovrebbero aspettarsi attacchi sempre più mirati progettati per compromettere questi asset. La scoperta di StilachiRAT rappresenta un significativo sviluppo nelle tattiche impiegate dai cybercriminali che cercano di sfruttare i possessori di valuta digitale.