- 19,469
- 40
- 8 Ноя 2022
Неприметный троян искусно маскируется и мгновенно воскрешается при попытке деактивации.
Специалисты Microsoft Для просмотра ссылки Войдиили Зарегистрируйся новый троян удалённого доступа — StilachiRAT. Он использует сложные техники для маскировки, закрепления в системе и кражи конфиденциальных данных. Несмотря на ограниченное распространение, компания решила публично поделиться индикаторами компрометации и рекомендациями по защите, чтобы помочь специалистам по кибербезопасности обнаружить угрозу и минимизировать её последствия.
Впервые StilachiRAT был выявлен в ноябре 2024 года исследователями Microsoft Incident Response. Анализ модуля «WWStartupCtrl64.dll», содержащего основные функции трояна, показал, что он способен похищать данные учётных записей, информацию из цифровых кошельков, данные из буфера обмена, а также сведения о системе.
Одним из ключевых элементов StilachiRAT является функция разведки, которая позволяет собирать информацию об аппаратной конфигурации устройства, наличии веб-камеры, активных сессиях удалённого рабочего стола (RDP) и запущенных графических приложениях. Также вредонос отслеживает активные окна и процессы, анализируя поведение пользователей.
После заражения системы StilachiRAT ориентируется на кражу данных криптовалютных кошельков, проверяя настройки 20 популярных расширений, включая Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet и другие. Кроме того, троян извлекает сохранённые в браузере Google Chrome пароли и отслеживает буфер обмена в поисках учётных данных и криптовалютных ключей.
Чтобы обеспечить свою устойчивость в системе, StilachiRAT использует сервисный диспетчер Windows (SCM) и создаёт «сторожевой» процесс, следящий за активностью вредоносных бинарных файлов и автоматически восстанавливающий их в случае удаления. Эта механика позволяет трояну незаметно возобновлять работу даже после попыток его устранить.
Дополнительная Для просмотра ссылки Войдиили Зарегистрируйся связана с возможностью StilachiRAT отслеживать активные RDP-сессии и копировать токены безопасности пользователей, что позволяет атакующим двигаться по сети, используя привилегированные учётные записи. Вредонос получает данные о текущей сессии, запускает окна на переднем плане и дублирует привилегии администратора, получая возможность запускать программы с повышенными правами.
StilachiRAT также обладает мощными механизмами противодействия анализу. Он умеет очищать журналы событий Windows, определять, работает ли он в песочнице, и использовать динамическое разрешение вызовов API, что затрудняет его изучение. Если трояну удаётся выявить запуск в среде анализа, он меняет своё поведение, чтобы избежать обнаружения.
Помимо сбора данных и скрытности, вредонос поддерживает выполнение команд от управляющего C2-сервера. Он способен перезагружать заражённую систему, манипулировать системными окнами, изменять параметры реестра Windows, приостанавливать работу устройства и выполнять произвольные приложения. Также возможна работа в режиме прокси для маршрутизации сетевого трафика через заражённую машину.
Чтобы минимизировать риск заражения StilachiRAT, Microsoft рекомендует загружать программное обеспечение только с официальных источников, использовать актуальные антивирусные решения, а также блокировать подозрительные домены и вредоносные вложения в электронной почте.
Специалисты Microsoft Для просмотра ссылки Войди
Впервые StilachiRAT был выявлен в ноябре 2024 года исследователями Microsoft Incident Response. Анализ модуля «WWStartupCtrl64.dll», содержащего основные функции трояна, показал, что он способен похищать данные учётных записей, информацию из цифровых кошельков, данные из буфера обмена, а также сведения о системе.
Одним из ключевых элементов StilachiRAT является функция разведки, которая позволяет собирать информацию об аппаратной конфигурации устройства, наличии веб-камеры, активных сессиях удалённого рабочего стола (RDP) и запущенных графических приложениях. Также вредонос отслеживает активные окна и процессы, анализируя поведение пользователей.
После заражения системы StilachiRAT ориентируется на кражу данных криптовалютных кошельков, проверяя настройки 20 популярных расширений, включая Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet и другие. Кроме того, троян извлекает сохранённые в браузере Google Chrome пароли и отслеживает буфер обмена в поисках учётных данных и криптовалютных ключей.
Чтобы обеспечить свою устойчивость в системе, StilachiRAT использует сервисный диспетчер Windows (SCM) и создаёт «сторожевой» процесс, следящий за активностью вредоносных бинарных файлов и автоматически восстанавливающий их в случае удаления. Эта механика позволяет трояну незаметно возобновлять работу даже после попыток его устранить.
Дополнительная Для просмотра ссылки Войди
StilachiRAT также обладает мощными механизмами противодействия анализу. Он умеет очищать журналы событий Windows, определять, работает ли он в песочнице, и использовать динамическое разрешение вызовов API, что затрудняет его изучение. Если трояну удаётся выявить запуск в среде анализа, он меняет своё поведение, чтобы избежать обнаружения.
Помимо сбора данных и скрытности, вредонос поддерживает выполнение команд от управляющего C2-сервера. Он способен перезагружать заражённую систему, манипулировать системными окнами, изменять параметры реестра Windows, приостанавливать работу устройства и выполнять произвольные приложения. Также возможна работа в режиме прокси для маршрутизации сетевого трафика через заражённую машину.
Чтобы минимизировать риск заражения StilachiRAT, Microsoft рекомендует загружать программное обеспечение только с официальных источников, использовать актуальные антивирусные решения, а также блокировать подозрительные домены и вредоносные вложения в электронной почте.
- Источник новости
- www.securitylab.ru