Microsoft a découvert un nouveau cheval de Troie d'accès à distance (RAT) ciblant les extensions de portefeuilles de cryptomonnaies sur le navigateur Google Chrome. L'entreprise a précisé que ce RAT, nommé StilachiRAT, utilise des techniques avancées pour échapper à la détection.
Microsoft a signalé la découverte d'un nouveau cheval de Troie d'accès à distance (RAT) nommé StilachiRAT. L'équipe de réponse aux incidents de l'entreprise dent révélé avoir initialement dent ce logiciel malveillant en novembre de l'année dernière.
Microsoft met en garde contre StilachiRAT, qui cible les informations des utilisateurs et les portefeuilles de cryptomonnaies
L'équipe de réponse aux incidents de Microsoft a déclaré que le cheval de Troie d'accès à distance utilisait des techniques sophistiquées pour échapper à la détection. Elle a ajouté que ce cheval de Troie pouvait exfiltrer les données personnelles des utilisateurs stockées sur le navigateur Chrome. L'équipe a également précisé que le virus pouvait accéder aux informations du portefeuille numérique et aux données stockées dans le presse-papiers.
🚨 Nouvelle alerte aux logiciels malveillants : vos portefeuilles de cryptomonnaies pourraient être menacés ! 🚨
Microsoft vient de découvrir un nouveau logiciel malveillant sournois appelé StilachiRAT, qui cible directement vos cryptomonnaies. 👀
Voici ce qu'elle fait :
🔹 Elle analyse votre appareil à la recherche de plus de 20 extensions de portefeuilles crypto (dont MetaMask, Coinbase…) . pic.twitter.com/BkUwgJPCL1— Ricards (@Ricardswo) 18 mars 2025
Le rapport explique que les cybercriminels pourraient utiliser le cheval de Troie pour siphonner les données des portefeuilles de cryptomonnaies dès son déploiement. L'équipe ajoute que les cybercriminels analysent les paramètres de l'appareil pour déterminer dent l'une des vingt extensions de portefeuille de cryptomonnaies est installée. Parmi les portefeuilles ciblés figurent notamment MetaMask , OKX Wallet, Coinbase Wallet et Trust Wallet.
L'équipe a déclaré qu'une analyse du module WWStartupCtrl64.dll de StilachiRAT, qui contenait les capacités du RAT, a révélé qu'il utilisait diverses méthodes pour voler des informations du système cible.
Il expliquait que le logiciel malveillant pouvaittracdes informationsdenttelles que les mots de passe et les clés cryptographiques enregistrées dans le fichier d'état local de Google Chrome et surveiller l'activité du presse-papiers.
Microsoft a ajouté que StilachiRAT était conçu pour collecter des informations système, notamment des détails sur le système d'exploitation, desdentmatériels tels que les numéros de série du BIOS, les sessions RDP actives, la présence de la caméra et les applications à interface graphique (GUI) en cours d'exécution. Ces informations étaient collectées via les interfaces COM WBEM (Web-based Enterprise Management) à l'aide du langage de requête WMI (WQL).
Microsoft a également révélé que le logiciel malveillant pouvait utiliser des techniques d'évasion de détection et des fonctionnalités anti-analyse, comme la possibilité d'effacer les journaux d'événements. L'entreprise a ajouté que le logiciel malveillant pouvait également vérifier s'il s'exécute dans un environnement isolé (sandbox) afin de bloquer les tentatives d'analyse.
Le document expliquait que les communications avec le serveur de commande et de contrôle (C2) étaient bidirectionnelles. Microsoft ajoutait que ces communications permettaient au logiciel malveillant d'exécuter les instructions qui lui étaient envoyées. L'entreprise avertissait que ces fonctionnalités laissaient présager des outils d'espionnage et de manipulation de systèmes polyvalents. Elle soulignait également que le logiciel malveillant prenait en charge dix commandes différentes.
L'équipe a déclaré ne pas pouvoirdentles responsables du logiciel malveillant à ce moment-là. Elle a expliqué espérer que la divulgation publique de ces informations permettrait de réduire le nombre de victimes potentielles.
Microsoft suggère aux particuliers et aux institutions de prendre des mesures pour protéger leurs données
Microsoft a ajouté que, d'après les informations dont elle dispose actuellement, le logiciel malveillant ne présentait pas de diffusion à grande échelle pour le moment. L'entreprise a précisé que ces informations étaient communiquées dans le cadre de ses efforts continus de surveillance et de reporting des menaces.
L'entreprise a conseillé aux utilisateurs d'installer un logiciel antivirus ainsi que des composants anti-phishing et anti-malware basés sur le cloud sur leurs appareils afin d'éviter d'être victimes de logiciels malveillants. Microsoft a ajouté qu'il était impossible de déterminer comment le logiciel malveillant avait été propagé aux cibles. L'entreprise a précisé que de tels chevaux de Troie pouvaient être installés via différentes méthodes d'accès initiales.
Selon CertiK , les pertes dues aux arnaques et aux piratages de cryptomonnaies ont dépassé 1,53 milliard de dollars en février.
La société d'analyse blockchain Chainalysis a averti que la popularité croissante des cryptomonnaies s'accompagnait d'une recrudescence des activités illicites sur la blockchain. Elle a ajouté que l'écosystème connaissait une professionnalisation accrue de la part des acteurs malveillants.
L'entreprise a également indiqué que les méthodes de piratage utilisées étaient devenues plus complexes. Elle a notamment souligné l'émergence de services de grande envergure sur la blockchain, fournissant une infrastructure permettant à divers acteurs malveillants de blanchir leurs fonds.
Chainalysis a indiqué que les adresses illicites ont reçu 40,9 milliards de dollars provenant de la criminalité liée aux cryptomonnaies, soit environ 0,14 % du volume total des transactions sur la blockchain. L'entreprise prévoit une augmentation des flux financiers vers les acteurs illicites en 2026, à mesure que de nouvelles adresses illégales sont identifiées dent
