Zespół do reagowania na incydenty Microsoft zidentyfikował nowego konia trojańskiego do zdalnego dostępu (RAT), zaprojektowanego do kompromitacji środków kryptowalut poprzez atakowanie rozszerzeń portfeli cyfrowych. To złośliwe oprogramowanie, nazwane StilachiRAT, może zbierać informacje o systemie, kraść dane logowania i wydobywać dane z portfeli kryptowalut na różnych platformach.

Trojan specyficznie celuje w co najmniej 20 popularnych rozszerzeń portfeli kryptowalut dla Google Chrome, w tym szeroko stosowane opcje, takie jak Metamask, Trust Wallet, Coinbase Wallet i Phantom. Śledztwo Microsoft ujawniło zdolność złośliwego oprogramowania do uzyskiwania dostępu do ustawień rejestru, aby potwierdzić, które rozszerzenia są zainstalowane. Po ich zidentyfikowaniu może wydobywać wrażliwe dane, potencjalnie dając atakującym dostęp do cyfrowych aktywów ofiar.

„StilachiRAT celuje w listę specyficznych rozszerzeń portfeli kryptowalut dla przeglądarki Google Chrome. Uzyskuje dostęp do ustawień w następującym kluczu rejestru i weryfikuje, czy jakiekolwiek z rozszerzeń są zainstalowane,” stwierdził Microsoft w swoim biuletynie bezpieczeństwa z 17 marca. Chociaż złośliwe oprogramowanie nie osiągnęło jeszcze szerokiej dystrybucji, eksperci ds. bezpieczeństwa wyrażają poważne obawy co do jego wyrafinowania i potencjalnego wpływu.

Atak złośliwego oprogramowania rozpoczyna się fazą rozpoznawania, w której gromadzi informacje o systemie operacyjnym ofiary, identyfikatorach sprzętowych i aktywnych sesjach. Następnie skupia się na kradzieży poświadczeń, celując w hasła przechowywane w Chrome i monitorując dane z pamięci podręcznej, gdzie użytkownicy często kopiują wrażliwe informacje, takie jak klucze do portfela czy hasła. To podejście wieloetapowe pozwala atakującym zebrać kompleksowe dane przed rozpoczęciem kradzieży.

Zespół bezpieczeństwa Microsoft podkreślił zaawansowane możliwości anty-forensicsowe StilachiRAT jako szczególnie niepokojące. Trojan może usunąć dzienniki zdarzeń i ocenić warunki systemowe, aby uniknąć mechanizmów wykrywających. Te techniki unikania sprawiają, że identyfikacja i usunięcie są znacznie bardziej wymagające dla standardowych narzędzi zabezpieczających.

Aby zmitigować ryzyko, Microsoft zaleca użytkownikom natychmiastowe wdrożenie kilku środków bezpieczeństwa. „W niektórych przypadkach trojany zdalnego dostępu mogą podszywać się pod legalne oprogramowanie lub aktualizacje oprogramowania. Zawsze pobieraj oprogramowanie z oficjalnej strony dewelopera oprogramowania lub z renomowanych źródeł,” podkreślił Microsoft w swojej poradzie. Firma również zaleca włączanie ochrony w czasie rzeczywistym w Microsoft Defender i używanie przeglądarek z SmartScreen, aby pomóc w blokowaniu złośliwych stron internetowych.

Dodatkowe zalecenia dotyczące bezpieczeństwa obejmują włączenie uwierzytelniania dwuskładnikowego dla wszystkich kont i utrzymanie aktualizacji oprogramowania w całych aplikacjach. Te podstawowe praktyki bezpieczeństwa mogą znacznie zmniejszyć podatność na to i podobne zagrożenia.

Odkrycie pojawia się w kontekście rosnących obaw o przestępstwa związane z kryptowalutami. Według raportu Chainalysis dotyczącego trendów w przestępczości kryptowalutowej na 2025 rok, nielegalne transakcje kryptowalutowe obecnie wahają się między 40 miliardami a 50 miliardami dolarów rocznie. Te fundusze są zdobywane za pomocą różnych metod, w tym ataków ransomware, wyrafinowanych operacji złośliwego oprogramowania i innych działań cyberprzestępczych.

Raport dalej prognozuje, że w 2024 roku wielkość nielegalnych transakcji kryptowalutowych może przekroczyć 51 miliardów dolarów, co reprezentuje średnioroczny wzrost o 25% między okresami raportowania. Ten trend wskazuje na eskalację w zaawansowaniu ataków celowanych w cyfrowe aktywa, jako że adopcja kryptowalut nadal rośnie na całym świecie.

Analitycy bezpieczeństwa podkreślają, że w miarę jak zasoby kryptowalutowe stają się bardziej powszechne, użytkownicy powinni oczekiwać coraz bardziej ukierunkowanych ataków zaprojektowanych do kompromitacji tych aktywów. Odkrycie StilachiRAT reprezentuje znaczącą ewolucję w taktykach stosowanych przez cyberprzestępców dążących do wykorzystania posiadaczy waluty cyfrowej.