Microsoft обнаружила новый троян удаленного доступа, нацеленный на расширения криптокошельков в браузере Chrome

Компания Microsoft обнаружила новый троян удаленного доступа (RAT), нацеленный на расширения криптовалютных кошельков в браузере Google Chrome. Компания добавила, что RAT, получивший название StilachiRAT, использует сложные методы для обхода обнаружения. 

Компания Microsoft сообщила сообщила компанииdentdentdent dentdentdentdent dentdentвредоносное ПО в ноябре прошлого года. 

Microsoft предупреждает о том, что StilachiRAT нацелен на получение информации о пользователях и доступ к криптовалютным кошелькам 

Группа реагирования на инциденты Microsoft заявила, что троян удаленного доступа продемонстрировал сложные методы обхода обнаружения. Она добавила, что троян может похищать личные данные пользователей, хранящиеся в браузере Chrome. Группа также отметила, что вирус может получить доступ к информации из цифрового кошелька и данным, хранящимся в буфере обмена. 

🚨 Предупреждение о новом вредоносном ПО: ваши криптокошельки могут быть под угрозой! 🚨

Компания Microsoft только что обнаружила новый коварный вредоносный код под названием StilachiRAT — и он нацелен прямо на вашу криптовалюту. 👀

Вот что он делает:
🔹 Сканирует ваше устройство на наличие более 20 расширений криптокошельков (включая MetaMask, Coinbase… pic.twitter.com/BkUwgJPCL1)

— Ricards (@Ricardswo) 18 марта 2025 г.

В сообщении пояснялось, что злоумышленники могут использовать троян для кражи данных криптокошелька после его развертывания. Команда добавила, что злоумышленники сканируют настройки устройства, чтобы определитьdentустановлены ли какие-либо из двадцати расширений для криптокошельков. Были выделены некоторые целевые кошельки, включая MetaMask, OKX, Coinbase и Trust Wallet. 

Команда заявила, что анализ программы StilachiRAT содержащего возможности RAT- она использовала различные методы для кражи информации из целевой системы. 

В сообщении пояснялось, что вредоносная программа можетtracdent, такие как пароли и криптографические ключи, сохраненные в локальном файле состояния Google Chrome, а также отслеживать активность в буфере обмена. 

Microsoft добавила, что StilachiRAT был разработан для сбора системной информации, включая сведения об операционной системе (ОС),dentоборудования, такие как серийные номера BIOS, активные сеансы протокола удаленного рабочего стола (RDP), наличие камеры и запущенные приложения с графическим пользовательским интерфейсом (GUI). Компания также отметила, что сбор данных осуществлялся через веб-интерфейсы управления предприятием на основе компонентной объектной модели (COM) с использованием языка запросов WMI (WQL).

Microsoft также сообщила, что вредоносная программа может использовать функции обхода обнаружения и защиты от криминалистического анализа, такие как возможность очистки журналов событий. Компания добавила, что вредоносная программа также может проверять наличие признаков работы в песочнице, чтобы блокировать попытки анализа. 

В сообщении пояснялось, что связь с сервером управления и контроля (C2) была двусторонней. Microsoft добавила, что эта связь позволяла вредоносной программе запускать отправленные ей инструкции. Компания предупредила, что эти особенности указывают на наличие универсальных инструментов для шпионажа и манипулирования системой. Компания подчеркнула, что вредоносная программа поддерживает десять различных команд.

Команда заявила, что на тот момент не смоглаdent, кто стоял за вредоносным ПО. Она пояснила, что надеется, что публичное распространение информации позволит снизить число людей, которые могут стать жертвами злоумышленников. 

Microsoft рекомендует частным лицам и организациям принимать меры для защиты своих данных 

Microsoft добавила, что, судя по текущей видимости, вредоносное ПО на данный момент не демонстрирует широкого распространения. Компания заявила, что поделилась этой информацией в рамках своих постоянных усилий по мониторингу и информированию об угрозах.  

Компания рекомендовала пользователям установить на свои устройства антивирусное программное обеспечение, облачные компоненты для защиты от фишинга и вредоносных программ, чтобы избежать заражения вредоносным ПО. Microsoft добавила, что неясно, каким образом вредоносное ПО было доставлено жертвам. Компания отметила, что подобные трояны могут быть установлены различными путями первоначального доступа.

По данным компании CertiK, в феврале убытки от фишинговых атак и взломов с использованием криптовалюты составили более 1,53 миллиарда долларов. 

Аналитическая компания Chainalysis, специализирующаяся на блокчейне, предупредила, что по мере широкого распространения криптовалют наблюдается также рост незаконной деятельности в сети. Она добавила, что экосистема переживает процесс повышения профессионализма со стороны недобросовестных участников. 

Компания также заявила, что используемые методы взлома стали более сложными. Она указала на появление крупномасштабных сервисов в блокчейне, которые предоставляют инфраструктуру различным злоумышленникам для отмывания средств. 

Chainalysis , незаконные адреса получили 40,9 миллиарда долларов дохода от криптопреступлений, что составляет приблизительно 0,14% от общего объема транзакций в блокчейне. Компания прогнозирует, что в 2026 году может наблюдаться увеличение притока средств к незаконным участникам рынка, поскольку будетdentбольше нелегальных адресов.