A equipe de resposta a incidentes da Microsoft identificou um novo trojan de acesso remoto (RAT) projetado para comprometer as posses de criptomoedas ao atingir extensões de carteiras digitais. O malware, apelidado de StilachiRAT, pode coletar informações do sistema, roubar credenciais de login e extrair dados de carteiras de criptomoeda em várias plataformas.

O trojan almeja especificamente pelo menos 20 extensões populares de carteiras de criptomoeda para o Google Chrome, incluindo opções amplamente utilizadas como Metamask, Trust Wallet, Coinbase Wallet e Phantom. A investigação da Microsoft revelou a capacidade do malware de acessar configurações de registro para validar quais extensões estão instaladas. Uma vez identificadas, ele pode extrair dados sensíveis, potencialmente dando aos atacantes acesso aos ativos digitais das vítimas.

"StilachiRAT almeja uma lista de extensões específicas de carteiras de criptomoeda para o navegador Google Chrome. Ele acessa as configurações na seguinte chave de registro e valida se alguma das extensões está instalada," afirmou a Microsoft em seu boletim de segurança de 17 de março. Embora o malware ainda não tenha alcançado uma distribuição generalizada, especialistas em segurança expressam preocupação significativa sobre sua sofisticação e potencial impacto.

O malware inicia seu ciclo de ataque com uma fase de reconhecimento, onde coleta informações sobre o sistema operacional da vítima, identificadores de hardware e sessões ativas. Em seguida, foca no roubo de credenciais, mirando senhas armazenadas no Chrome e monitorando dados da área de transferência onde os usuários frequentemente copiam informações sensíveis como chaves de carteiras ou senhas. Essa abordagem em várias etapas permite que os atacantes coletem dados abrangentes antes de iniciar qualquer roubo.

A equipe de segurança da Microsoft destacou as avançadas capacidades anti-forenses do StilachiRAT como particularmente preocupantes. O trojan pode excluir logs de eventos e avaliar condições do sistema para evitar mecanismos de detecção. Essas técnicas evasivas tornam a identificação e remoção significativamente mais desafiadoras para ferramentas de segurança padrão.

Para mitigar riscos, a Microsoft aconselha os usuários a implementarem várias medidas de segurança imediatamente. "Em alguns casos, trojans de acesso remoto podem se disfarçar como software legítimo ou atualizações de software. Sempre faça download de software do site oficial do desenvolvedor de software ou de fontes reputadas," enfatizou a Microsoft em seu comunicado. A empresa também recomenda habilitar a proteção em tempo real no Microsoft Defender e usar navegadores com SmartScreen para ajudar a bloquear sites maliciosos.

Recomendações de segurança adicionais incluem habilitar a autenticação multifator para todas as contas e manter atualizações de software atuais em todas as aplicações. Essas práticas de segurança fundamentais podem reduzir substancialmente a vulnerabilidade a esta e ameaças semelhantes.

A descoberta ocorre em meio a crescentes preocupações sobre crimes relacionados a criptomoedas. De acordo com o relatório de Tendências de Crimes em Cripto 2025 da Chainalysis, as transações ilícitas de criptomoeda atualmente variam entre US$ 40 bilhões e US$ 50 bilhões anualmente. Esses fundos são adquiridos através de vários métodos, incluindo ataques de ransomware, operações sofisticadas de malware e outras atividades cibercriminosas.

O relatório ainda projeta que o volume de transações ilícitas de cripto em 2024 pode exceder US$ 51 bilhões, representando um aumento médio anual de 25% entre os períodos de relatório. Essa tendência indica uma sofisticação crescente nos ataques que visam ativos digitais à medida que a adoção de criptomoedas continua a se expandir globalmente.

Analistas de segurança enfatizam que, à medida que as posses de criptomoeda se tornam mais comuns, os usuários devem esperar ataques cada vez mais direcionados projetados para comprometer esses ativos. A descoberta do StilachiRAT representa uma evolução significativa nas táticas empregadas por cibercriminosos que buscam explorar os detentores de moedas digitais.