Ssylka

Сможет ли StilachiRAT похитить ваши данные и криптовалюту?

StilachiRAT – новый удалённый троянский конь, обнаруженный Microsoft Incident Response team в ноябре 2024 года, предназначенный для кражи конфиденциальной информации, включая учётные данные браузеров и данные цифровых кошельков.
Сможет ли StilachiRAT похитить ваши данные и криптовалюту?
Изображение носит иллюстративный характер

Троян внедряется через DLL-модуль «WWStartupCtrl64.dll» и использует COM-интерфейсы WBEM с запросами WQL для сбора обширной информации: сведения об операционной системе, аппаратных идентификаторах, серийных номерах BIOS, наличии камеры, активных сеансах RDP и запущенных приложениях с графическим интерфейсом. Дополнительно StilachiRAT реализует антифорензические меры, очищая журналы событий и выполняя циклические проверки для выявления анализирующих инструментов и таймеров песочницы в виртуальных окружениях.

Программа способна извлекать учётные данные из браузера Google Chrome, периодически считывать содержимое буфера обмена (в том числе сохранённые пароли) и перехватывать информацию о текущем активном окне при сеансах удалённого рабочего стола. Это позволяет злоумышленникам получать практически всю необходимую информацию о системе цели.

Особое внимание вредонос уделяет криптовалютным кошелькам, установленным в Google Chrome. Среди целевых расширений – Bitget Wallet, Trust Wallet, TronLink, М⃰Mask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal и Plug.

Двусторонняя коммуникация с сервером управления (C2) позволяет StilachiRAT получать и выполнять до десяти команд, в том числе: команда 07 – вывод диалогового окна с HTML-содержимым с заданного URL; команда 08 – очистка записей журналов событий; команда 09 – выключение системы с использованием недокументированного API ("ntdll.dll!NtShutdownSystem"); команда 13 – установление нового исходящего соединения по адресу, полученному с сервера; команда 14 – приём входящего сетевого соединения на указанном TCP-порту; команда 15 – разрыв всех активных соединений; команда 16 – запуск указанного приложения; команда 19 – поиск открытых окон с заданным текстом заголовка; команда 26 – перевод системы в режим сна или гибернации; команда 30 – кража паролей Google Chrome.

Способы первоначальной доставки StilachiRAT остаются неясными, однако Microsoft подчёркивает, что подобные угрозы могут проникать через различные векторы начального доступа, что требует от организаций обязательного внедрения надёжных мер информационной безопасности.

В публикации Microsoft акцентируется на том, что StilachiRAT представляет серьёзную угрозу безопасности данных, поскольку его комплексный функционал позволяет злоумышленникам собирать и передавать в режиме реального времени критически важную информацию с целевых систем.

Параллельно с выявлением StilachiRAT, Palo Alto Networks Unit 42 предоставили данные о трёх необычных образцах вредоносного ПО: пассивном IIS-бэкдоре, разработанном на C++/CLI, способном обрабатывать определённые HTTP-запросы, выполнять команды, создавать процессы и внедрять shellcode; бутките, реализованном в виде 64-битной DLL, устанавливаемой через легитимно подписанный драйвер ampa.sys, с модифицированным загрузчиком GRUB 2, который после перезагрузки выводит изображение и периодически воспроизводит мелодию «Dixie» (по мнению исследователя Dominik Reichel — возможно, оскорбительный розыгрыш); а также Windows-импланте кроссплатформенного фреймворка для постэксплуатации ProjectGeass, разработанного на C++.

Эти данные свидетельствуют об эволюции вредоносных программ, демонстрирующих всё более сложные методы обхода защиты, что требовательно к постоянному обновлению и совершенствованию систем кибербезопасности.


Новое на сайте

15653Загадочные космические вспышки: тайна LFBOT-взрывов во вселенной 15651Как театр в Солихулле вернулся к жизни после опасной бетонной угрозы? 15650Что скрывается за 7-месячной реконструкцией исторического театра за 3,5 миллиона фунтов? 15649Путь в гении: новая выставка о молодом Шекспире открывается в Стратфорде-на-Эйвоне 15648Научный оазис в скалистых горах: как заброшенный шахтёрский городок стал центром мировых... 15647Лоррейн Келли успокаивает поклонников перед хирургической операцией 15646Как вредоносные Go-модули стирают диски Linux-систем через атаки на цепочку поставок? 156459 незаменимых электроинструментов для каждого дома: когда и как их использовать 15644Астроном-любитель из вермонта запечатлел впечатляющие галактики со своей домашней... 15643Как финансовые стимулы в законе об эвтаназии могут повлиять на уязвимые группы населения? 15642Как гусеница-коллекционер костей стала хищником в паутинах Гавайев? 15641Мелодии иллюзий: как музыка Роя Орбисона формирует кинематографический мир Дэвида Линча 15640Почему насекомые исчезают с лобовых стекол автомобилей? 15639Как жительница Чили с мышечной дистрофией стала символом борьбы за право на эвтаназию?