Ssylka

Сможет ли StilachiRAT похитить ваши данные и криптовалюту?

StilachiRAT – новый удалённый троянский конь, обнаруженный Microsoft Incident Response team в ноябре 2024 года, предназначенный для кражи конфиденциальной информации, включая учётные данные браузеров и данные цифровых кошельков.
Сможет ли StilachiRAT похитить ваши данные и криптовалюту?
Изображение носит иллюстративный характер

Троян внедряется через DLL-модуль «WWStartupCtrl64.dll» и использует COM-интерфейсы WBEM с запросами WQL для сбора обширной информации: сведения об операционной системе, аппаратных идентификаторах, серийных номерах BIOS, наличии камеры, активных сеансах RDP и запущенных приложениях с графическим интерфейсом. Дополнительно StilachiRAT реализует антифорензические меры, очищая журналы событий и выполняя циклические проверки для выявления анализирующих инструментов и таймеров песочницы в виртуальных окружениях.

Программа способна извлекать учётные данные из браузера Google Chrome, периодически считывать содержимое буфера обмена (в том числе сохранённые пароли) и перехватывать информацию о текущем активном окне при сеансах удалённого рабочего стола. Это позволяет злоумышленникам получать практически всю необходимую информацию о системе цели.

Особое внимание вредонос уделяет криптовалютным кошелькам, установленным в Google Chrome. Среди целевых расширений – Bitget Wallet, Trust Wallet, TronLink, М⃰Mask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal и Plug.

Двусторонняя коммуникация с сервером управления (C2) позволяет StilachiRAT получать и выполнять до десяти команд, в том числе: команда 07 – вывод диалогового окна с HTML-содержимым с заданного URL; команда 08 – очистка записей журналов событий; команда 09 – выключение системы с использованием недокументированного API ("ntdll.dll!NtShutdownSystem"); команда 13 – установление нового исходящего соединения по адресу, полученному с сервера; команда 14 – приём входящего сетевого соединения на указанном TCP-порту; команда 15 – разрыв всех активных соединений; команда 16 – запуск указанного приложения; команда 19 – поиск открытых окон с заданным текстом заголовка; команда 26 – перевод системы в режим сна или гибернации; команда 30 – кража паролей Google Chrome.

Способы первоначальной доставки StilachiRAT остаются неясными, однако Microsoft подчёркивает, что подобные угрозы могут проникать через различные векторы начального доступа, что требует от организаций обязательного внедрения надёжных мер информационной безопасности.

В публикации Microsoft акцентируется на том, что StilachiRAT представляет серьёзную угрозу безопасности данных, поскольку его комплексный функционал позволяет злоумышленникам собирать и передавать в режиме реального времени критически важную информацию с целевых систем.

Параллельно с выявлением StilachiRAT, Palo Alto Networks Unit 42 предоставили данные о трёх необычных образцах вредоносного ПО: пассивном IIS-бэкдоре, разработанном на C++/CLI, способном обрабатывать определённые HTTP-запросы, выполнять команды, создавать процессы и внедрять shellcode; бутките, реализованном в виде 64-битной DLL, устанавливаемой через легитимно подписанный драйвер ampa.sys, с модифицированным загрузчиком GRUB 2, который после перезагрузки выводит изображение и периодически воспроизводит мелодию «Dixie» (по мнению исследователя Dominik Reichel — возможно, оскорбительный розыгрыш); а также Windows-импланте кроссплатформенного фреймворка для постэксплуатации ProjectGeass, разработанного на C++.

Эти данные свидетельствуют об эволюции вредоносных программ, демонстрирующих всё более сложные методы обхода защиты, что требовательно к постоянному обновлению и совершенствованию систем кибербезопасности.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов