StilachiRAT – новый удалённый троянский конь, обнаруженный Microsoft Incident Response team в ноябре 2024 года, предназначенный для кражи конфиденциальной информации, включая учётные данные браузеров и данные цифровых кошельков.
Троян внедряется через DLL-модуль «WWStartupCtrl64.dll» и использует COM-интерфейсы WBEM с запросами WQL для сбора обширной информации: сведения об операционной системе, аппаратных идентификаторах, серийных номерах BIOS, наличии камеры, активных сеансах RDP и запущенных приложениях с графическим интерфейсом. Дополнительно StilachiRAT реализует антифорензические меры, очищая журналы событий и выполняя циклические проверки для выявления анализирующих инструментов и таймеров песочницы в виртуальных окружениях.
Программа способна извлекать учётные данные из браузера Google Chrome, периодически считывать содержимое буфера обмена (в том числе сохранённые пароли) и перехватывать информацию о текущем активном окне при сеансах удалённого рабочего стола. Это позволяет злоумышленникам получать практически всю необходимую информацию о системе цели.
Особое внимание вредонос уделяет криптовалютным кошелькам, установленным в Google Chrome. Среди целевых расширений – Bitget Wallet, Trust Wallet, TronLink, М⃰Mask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal и Plug.
Двусторонняя коммуникация с сервером управления (C2) позволяет StilachiRAT получать и выполнять до десяти команд, в том числе: команда 07 – вывод диалогового окна с HTML-содержимым с заданного URL; команда 08 – очистка записей журналов событий; команда 09 – выключение системы с использованием недокументированного API ("ntdll.dll!NtShutdownSystem"); команда 13 – установление нового исходящего соединения по адресу, полученному с сервера; команда 14 – приём входящего сетевого соединения на указанном TCP-порту; команда 15 – разрыв всех активных соединений; команда 16 – запуск указанного приложения; команда 19 – поиск открытых окон с заданным текстом заголовка; команда 26 – перевод системы в режим сна или гибернации; команда 30 – кража паролей Google Chrome.
Способы первоначальной доставки StilachiRAT остаются неясными, однако Microsoft подчёркивает, что подобные угрозы могут проникать через различные векторы начального доступа, что требует от организаций обязательного внедрения надёжных мер информационной безопасности.
В публикации Microsoft акцентируется на том, что StilachiRAT представляет серьёзную угрозу безопасности данных, поскольку его комплексный функционал позволяет злоумышленникам собирать и передавать в режиме реального времени критически важную информацию с целевых систем.
Параллельно с выявлением StilachiRAT, Palo Alto Networks Unit 42 предоставили данные о трёх необычных образцах вредоносного ПО: пассивном IIS-бэкдоре, разработанном на C++/CLI, способном обрабатывать определённые HTTP-запросы, выполнять команды, создавать процессы и внедрять shellcode; бутките, реализованном в виде 64-битной DLL, устанавливаемой через легитимно подписанный драйвер ampa.sys, с модифицированным загрузчиком GRUB 2, который после перезагрузки выводит изображение и периодически воспроизводит мелодию «Dixie» (по мнению исследователя Dominik Reichel — возможно, оскорбительный розыгрыш); а также Windows-импланте кроссплатформенного фреймворка для постэксплуатации ProjectGeass, разработанного на C++.
Эти данные свидетельствуют об эволюции вредоносных программ, демонстрирующих всё более сложные методы обхода защиты, что требовательно к постоянному обновлению и совершенствованию систем кибербезопасности.
Изображение носит иллюстративный характер
Троян внедряется через DLL-модуль «WWStartupCtrl64.dll» и использует COM-интерфейсы WBEM с запросами WQL для сбора обширной информации: сведения об операционной системе, аппаратных идентификаторах, серийных номерах BIOS, наличии камеры, активных сеансах RDP и запущенных приложениях с графическим интерфейсом. Дополнительно StilachiRAT реализует антифорензические меры, очищая журналы событий и выполняя циклические проверки для выявления анализирующих инструментов и таймеров песочницы в виртуальных окружениях.
Программа способна извлекать учётные данные из браузера Google Chrome, периодически считывать содержимое буфера обмена (в том числе сохранённые пароли) и перехватывать информацию о текущем активном окне при сеансах удалённого рабочего стола. Это позволяет злоумышленникам получать практически всю необходимую информацию о системе цели.
Особое внимание вредонос уделяет криптовалютным кошелькам, установленным в Google Chrome. Среди целевых расширений – Bitget Wallet, Trust Wallet, TronLink, М⃰Mask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal и Plug.
Двусторонняя коммуникация с сервером управления (C2) позволяет StilachiRAT получать и выполнять до десяти команд, в том числе: команда 07 – вывод диалогового окна с HTML-содержимым с заданного URL; команда 08 – очистка записей журналов событий; команда 09 – выключение системы с использованием недокументированного API ("ntdll.dll!NtShutdownSystem"); команда 13 – установление нового исходящего соединения по адресу, полученному с сервера; команда 14 – приём входящего сетевого соединения на указанном TCP-порту; команда 15 – разрыв всех активных соединений; команда 16 – запуск указанного приложения; команда 19 – поиск открытых окон с заданным текстом заголовка; команда 26 – перевод системы в режим сна или гибернации; команда 30 – кража паролей Google Chrome.
Способы первоначальной доставки StilachiRAT остаются неясными, однако Microsoft подчёркивает, что подобные угрозы могут проникать через различные векторы начального доступа, что требует от организаций обязательного внедрения надёжных мер информационной безопасности.
В публикации Microsoft акцентируется на том, что StilachiRAT представляет серьёзную угрозу безопасности данных, поскольку его комплексный функционал позволяет злоумышленникам собирать и передавать в режиме реального времени критически важную информацию с целевых систем.
Параллельно с выявлением StilachiRAT, Palo Alto Networks Unit 42 предоставили данные о трёх необычных образцах вредоносного ПО: пассивном IIS-бэкдоре, разработанном на C++/CLI, способном обрабатывать определённые HTTP-запросы, выполнять команды, создавать процессы и внедрять shellcode; бутките, реализованном в виде 64-битной DLL, устанавливаемой через легитимно подписанный драйвер ampa.sys, с модифицированным загрузчиком GRUB 2, который после перезагрузки выводит изображение и периодически воспроизводит мелодию «Dixie» (по мнению исследователя Dominik Reichel — возможно, оскорбительный розыгрыш); а также Windows-импланте кроссплатформенного фреймворка для постэксплуатации ProjectGeass, разработанного на C++.
Эти данные свидетельствуют об эволюции вредоносных программ, демонстрирующих всё более сложные методы обхода защиты, что требовательно к постоянному обновлению и совершенствованию систем кибербезопасности.
