微軟事件回應團隊發現一款新型遠端存取木馬 (RAT),專門針對數碼錢包擴充功能以入侵加密貨幣持有者。該惡意軟件被命名為 StilachiRAT,能收集系統資訊、竊取登入憑證,以及跨多個平台從加密貨幣錢包提取資料。
這款木馬針對至少 20 款在 Google Chrome 上流行的加密貨幣錢包擴充,包括常用如 Metamask、Trust Wallet、Coinbase Wallet 及 Phantom 等。微軟調查發現該惡意軟件具備檢查註冊表設定,以確認已安裝哪些擴充功能的能力。鎖定後,便可抽取敏感資料,有機會讓攻擊者盜取受害者的加密資產。
微軟在 3 月 17 日的安全通報中表示:「StilachiRAT 會鎖定一系列特定的 Google Chrome 加密貨幣錢包擴充。它會存取以下註冊表機碼設定並驗證已安裝的擴充功能。」雖然該惡意軟件仍未大規模傳播,但安全專家對其高階複雜程度及潛在威脅表示擔憂。
惡意軟件的攻擊循環先由偵察階段展開,蒐集受害者的作業系統資訊、硬體識別與活動工作階段資料。之後便集中在憑證竊取,包括盜取 Chrome 儲存的密碼,以及監控用戶剪貼簿內常複製的敏感資訊如錢包金鑰或密碼。這個多階段策略方便攻擊者蒐集全面資料,然後再實際行動盜竊。
微軟安全團隊特別指出 StilachiRAT 所具備的高級反取證能力令人憂慮。木馬能刪除事件日誌並評估系統狀況以避開偵測方法。這些規避手法令一般安全工具更難偵測及清除。
為減低風險,微軟建議用戶立即實施多項安全措施。微軟強調:「部分遠端存取木馬可能會偽裝成合法軟件或更新,因此只應從軟件開發商官網或可信來源下載程式。」同時建議啟用 Microsoft Defender 的即時防護及使用設有 SmartScreen 安全的瀏覽器以阻擋惡意網站。
其他安全建議包括啟用多重身份驗證及保持所有應用程式定期更新。這些基本做法能大幅減低成為此類威脅的受害機會。
這項發現正值加密貨幣相關罪案大幅上升。根據 Chainalysis《2025 年加密犯罪趨勢》報告,現時非法加密貨幣交易每年高達四百億至五百億美元,當中涉及勒索軟件、高階惡意軟件運作及其他網絡犯罪活動。
報告更預計 2024 年非法加密交易規模可超過 510 億美元,平均每年增長 25%。這趨勢顯示針對數碼資產的攻擊越趨複雜,隨著加密貨幣全球普及風險同步上升。
安全分析師強調,隨著加密資產成主流,針對這些資產的攻擊只會愈來愈精準有組織。StilachiRAT 的發現標誌著網絡犯罪分子利用新策略針對持有數碼貨幣者的手法明顯升級。