Команда реагування на інциденти Microsoft ідентифікувала новий троян для віддаленого доступу (RAT), розроблений для компрометації криптоактивів, націлюючись на розширення цифрових гаманців. Шкідливе ПЗ, назване StilachiRAT, може збирати інформацію про систему, красти облікові дані та витягувати дані з криптогаманців на різних платформах.
Троян спеціально націлюється щонайменше на 20 популярних розширень криптогаманців для Google Chrome, зокрема таких, як Metamask, Trust Wallet, Coinbase Wallet та Phantom. Дослідження Microsoft виявило здатність шкідливого ПЗ доступитися до налаштувань реєстру, щоб перевірити, які розширення встановлено. Після цього він може витягувати чутливі дані, що потенційно надає нападникам доступ до цифрових активів жертв.
"StilachiRAT націлюється на список специфічних розширень криптогаманців для браузера Google Chrome. Він отримує доступ до налаштувань в наступному ключі реєстру та перевіряє, чи встановлено якісь розширення," - заявили в Microsoft у своєму бюлетені безпеки від 17 березня. Хоча шкідливе ПЗ ще не досягло широкого розповсюдження, експерти з безпеки висловлюють занепокоєння про його складність та потенційний вплив.
Шкідливе ПЗ починає свій цикл атаки з фази розвідки, де збирає інформацію про операційну систему жертви, ідентифікатори обладнання та активні сесії. Потім фокусується на крадіжці облікових даних, націлюючись на паролі, збережені у Chrome, та контролюючи дані буфера обміну, де користувачі часто копіюють чутливу інформацію на кшталт ключів гаманців або паролів. Такий багатоступінчастий підхід дозволяє нападникам збирати вичерпні дані перед ініціюванням будь-якої крадіжки.
Команда безпеки Microsoft підкреслила просунуті антифорензийні можливості StilachiRAT як особливо занепокійливі. Троян може видаляти журнали подій та оцінювати стан системи, щоб уникнути механізмів виявлення. Ці ухильні техніки значно ускладнюють ідентифікацію та усунення для стандартних засобів безпеки.
Щоб зменшити ризики, Microsoft радить користувачам негайно впровадити кілька заходів безпеки. "У деяких випадках троянці для віддаленого доступу можуть маскуватися під легітимне програмне забезпечення або оновлення програм. Завжди завантажуйте ПЗ з офіційного сайту розробника або з надійних джерел", підкреслює Microsoft у своїй рекомендації. Компанія також радить увімкнути захист в реальному часі у Microsoft Defender та використовувати браузери з SmartScreen для блокування шкідливих сайтів.
Додаткові рекомендації щодо безпеки включають увімкнення багатофакторної автентифікації для всіх облікових записів і підтримання актуальних оновлень програмного забезпечення у всіх додатках. Ці основні практики безпеки можуть суттєво зменшити вразливість до цієї та подібних загроз.
Виявлення відбувається на тлі зростаючого занепокоєння щодо злочинності, пов'язаної з криптовалютами. За даними звіту Chainalysis про тенденції криптозлочинності у 2025 році, нелегальні криптографічні транзакції наразі коливаються у межах від 40 до 50 мільярдів доларів на рік. Ці кошти отримуються через різні методи, включаючи атаки з використанням програм-вимагачів, складні операції шкідливого ПЗ та інші види кіберзлочинних дій.
Звіт також прогнозує, що обсяг нелегальних криптографічних транзакцій у 2024 році може перевищити 51 мільярд доларів, представляючи середнє річне збільшення на 25% між періодами звітності. Ця тенденція вказує на зростання складності атак, що націлюються на цифрові активи у міру того, як поширення криптовалют продовжує розширюватися по всьому світу.
Аналітики з безпеки підкреслюють, що в міру того, як криптоактиви стають все більш популярними, користувачі повинні очікувати все більш цілеспрямованих атак, спрямованих на компрометацію цих активів. Виявлення StilachiRAT представляє значну еволюцію у тактиці, яку використовують кіберзлочинці, щоб експлуатувати власників цифрових валют.