Корпорація Microsoft повідомила про появу нового троянського вірусу віддаленого доступу (RAT), відомого під назвою StilachiRAT. Цей шкідливий програмний засіб спеціалізується на крадіжці даних криптовалютних гаманців, зокрема, загрожує збереженню користувачів Google Chrome, які мають встановлені розширення для 20 найпопулярніших гаманців.
Про це розповідає ProIT
Як працює StilachiRAT?
StilachiRAT вперше було виявлено у листопаді 2024 року. Цей троян збирає повну інформацію про систему жертви, включаючи дані про операційну систему (ОС), ідентифікатори обладнання, наявність камери, активні сеанси протоколу віддаленого робочого столу (RDP) та запущені додатки графічного інтерфейсу (GUI). Завдяки цьому, зловмисники можуть скласти детальний профіль системи, що піддається атаці.
Після цього вірус сканує дані конфігурацій 20 різних розширень криптогаманців у браузері Google Chrome та здобуває й розшифровує збережені облікові дані. Це дозволяє отримати доступ до імен користувачів і паролів, що зберігаються в браузері.
Методи зараження та рекомендації
StilachiRAT зв’язується з віддаленими серверами, використовуючи TCP-порти 53, 443 або 16000, що надає можливість виконувати віддалені команди та, за потреби, використовувати проксі-сервери типу SOCKS. Окрім крадіжки даних для входу в гаманець жертви, зловмисник, використовуючи троян, може віддалено перезавантажити систему, очистити журнал, маніпулювати реєстром, запускати додатки та багато іншого. При цьому вірус очищає журнали подій, виявляє аналітичні інструменти та обходить їх для уникнення виявлення.
Розробники криптогаманця Phantom нагадали про базові правила безпеки: «Не робіть копіпаст приватних ключів, не переходьте за випадковими посиланнями та не встановлюйте ненадійне програмне забезпечення».
Microsoft не уточнила, яким чином поширюється RAT, але фахівці радять дотримуватись наступних рекомендацій:
- Оновіть операційну систему та браузер;
- Використовуйте менеджери паролів, такі як 1Password, замість зберігання у текстових редакторах;
- Використовуйте апаратні гаманці для додаткової безпеки;
- Оновлюйте Microsoft Defender та за можливості запускайте додатковий антивірусний захист.
