微軟事件回應團隊發現一種新型遠端存取木馬(RAT),專門針對數位錢包擴充功能,企圖竊取加密貨幣資產。該惡意軟體被命名為 StilachiRAT,能蒐集系統資訊、竊取登入憑證,並從多平台的加密貨幣錢包擷取資料。
這款木馬專門針對至少 20 種 Google Chrome 熱門加密貨幣錢包擴充功能,包括廣泛使用的 MetaMask、Trust Wallet、Coinbase Wallet 和 Phantom 等。微軟調查顯示,該惡意軟體能存取註冊檔設置,用於驗證安裝了哪些擴充功能。一旦發現,即可擷取敏感資訊,讓攻擊者有機會取得受害者的數位資產。
微軟於 3 月 17 日發布的安全公報中表示:「StilachiRAT 針對 Google Chrome 瀏覽器的特定加密貨幣錢包擴充功能清單,並會讀取以下註冊機碼來確認是否安裝了這些擴充功能。」雖然此惡意軟體尚未大規模散布,安全專家仍對其高度複雜以及潛在威脅深感憂慮。
該惡意軟體的攻擊循環始於偵查階段,會蒐集受害者作業系統、硬體識別碼與活動會話等資訊,隨後重點進行憑證竊取,包括窺取 Chrome 儲存的密碼並監控剪貼簿資料,這裡通常會有用戶複製的錢包金鑰或密碼。這種多階段攻擊手法讓攻擊者能在竊取前獲取完整資料。
微軟安全團隊強調 StilachiRAT 先進的反取證能力尤為令人擔憂。該木馬可刪除事件記錄並評估系統狀態以規避偵測機制,這些隱蔽技術讓一般安全工具更難偵測與移除威脅。
為降低風險,微軟建議用戶立即採取多項安全措施。微軟強調:「有時遠端存取木馬會偽裝成合法程式或軟體更新。請務必從官方網站或可信來源下載軟體。」此外,建議啟用 Microsoft Defender 的即時防護,並使用搭載 SmartScreen 的瀏覽器協助封鎖惡意網站。
其他安全建議還包括為所有帳戶啟用多重驗證機制,並確保所有應用軟體均為最新版本。這些基本安全措施可大幅降低遭此類威脅入侵的風險。
此發現正值外界對加密貨幣相關犯罪日益關注之際。根據 Chainalysis 2025 年加密犯罪趨勢報告,非法加密貨幣交易每年介於 400 億至 500 億美元,獲得方式包括勒索病毒攻擊、高度複雜的惡意軟體作業及其它網路犯罪活動。
報告更預測,2024 年非法加密貨幣交易規模可能超過 510 億美元,過去各期年均成長率達 25%。這一趨勢顯示,隨著全球加密貨幣採用率不斷提升,針對數位資產的攻擊日益複雜。
安全分析師指出,隨加密資產日益普及,用戶勢必越來越常遇到針對性極強的攻擊。StilachiRAT 的出現,標誌著網路犯罪分子攻擊數位貨幣持有者手法上升級的重要分水嶺。