Команда реагирования на инциденты Microsoft выявила новый удаленный доступ троян (RAT), созданный для компрометации криптовалютных средств, нацеленный на расширения цифровых кошельков. Вредоносное ПО, получившее название StilachiRAT, может собирать информацию о системе, красть данные для входа и извлекать данные из криптовалютных кошельков на различных платформах.

Троян специально нацелен как минимум на 20 популярных расширений криптовалютных кошельков для Google Chrome, включая такие широко используемые опции, как Metamask, Trust Wallet, Coinbase Wallet и Phantom. Расследование Microsoft выявило способность вируса получать доступ к настройкам реестра для проверки установленных расширений. После идентификации он может извлекать чувствительные данные, потенциально давая злоумышленникам доступ к цифровым активам жертв.

«StilachiRAT нацелен на список конкретных расширений криптовалютных кошельков для браузера Google Chrome. Он получает доступ к настройкам в следующем ключе реестра и проверяет, установлены ли какие-либо из расширений», заявила Microsoft в своем бюллетене безопасности 17 марта. Хотя вирус еще не получил широкого распространения, эксперты по безопасности выражают значительное беспокойство по поводу его сложности и потенциального воздействия.

Вредоносное ПО начинает цикл атаки с фазы разведки, где оно собирает информацию о операционной системе жертвы, идентификаторах оборудования и активных сессиях. Далее оно фокусируется на краже учетных данных, нацеливаясь на пароли, сохраненные в Chrome, и отслеживание данных буфера обмена, где пользователи часто копируют чувствительную информацию, такую как ключи кошельков или пароли. Такой многоэтапный подход позволяет злоумышленникам собирать обширные данные перед началом любой кражи.

Команда безопасности Microsoft подчеркнула продвинутые антифорензические способности StilachiRAT как особенно вызывающие беспокойство. Троян может удалять журналы событий и оценивать условия системы, чтобы избежать механизмов обнаружения. Эти уклончивые техники делают идентификацию и удаление значительно более сложными для стандартных инструментов безопасности.

Чтобы снизить риски, Microsoft советует пользователям немедленно внедрить несколько мер безопасности. «В некоторых случаях трояны удаленного доступа могут маскироваться под легитимное ПО или обновления программного обеспечения. Всегда загружайте программное обеспечение с официального сайта разработчика программного обеспечения или из авторитетных источников», подчеркивает Microsoft в своем совете. Компания также рекомендует включить защиту в реальном времени в Microsoft Defender и использовать браузеры с SmartScreen для блокировки вредоносных сайтов.

Дополнительные рекомендации по безопасности включают в себя активацию многофакторной аутентификации для всех аккаунтов и поддержание актуальности обновлений программного обеспечения для всех приложений. Эти основные практики безопасности могут существенно снизить уязвимость к этой и аналогичным угрозам.

Открытие происходит на фоне растущих опасений по поводу преступности, связанной с криптовалютами. Согласно отчету Chainalysis о тенденциях крипто-преступности на 2025 год, незаконные криптовалютные транзакции в настоящее время варьируются от 40 до 50 миллиардов долларов в год. Эти средства добываются различными методами, включая атаки с использованием вымогательского ПО, сложные операции с вирусами и другие киберпреступные действия.

Отчет также прогнозирует, что объем незаконных криптовалютных транзакций в 2024 году может превысить 51 миллиард долларов, представляя собой среднегодовой рост на 25% между отчетными периодами. Эта тенденция свидетельствует о растущей сложности атак, нацеленных на цифровые активы, по мере того как принятие криптовалюты продолжает расширяться по всему миру.

Аналитики по безопасности подчеркивают, что по мере того как криптовалютные средства становятся более широко распространенными, пользователи должны ожидать все более целенаправленных атак, нацеленных на компрометацию этих активов. Открытие StilachiRAT представляет собой значительную эволюцию в тактике, используемой киберпреступниками, стремящимися эксплуатировать держателей цифровой валюты.