Microsoft đã xác định được một loại trojan truy cập từ xa chưa từng được biết đến trước đây, có tên là StilachiRAT, sử dụng các kỹ thuật tiên tiến để tránh bị phát hiện và duy trì sự tồn tại trên các hệ thống bị nhiễm.
Phần mềm độc hại được thiết kế để đánh cắp nhiều loại dữ liệu nhạy cảm, bao gồm các tệp cấu hình từ 20 tiện ích mở rộng ví tiền điện tử cho trình duyệt Google Chrome. Trong số các ví mục tiêu có MetaMask, Coinbase Wallet, Trust Wallet và TronLink.
Microsoft cho biết StilachiRAT cũng có thể trích xuất và giải mã thông tin đăng nhập đã lưu từ Chrome, giúp kẻ tấn công truy cập vào tên người dùng và mật khẩu đã lưu.
Cách StilachiRAT hoạt động
- Mật khẩu được lưu trong trình duyệt của bạn
- Chi tiết ví tiền điện tử (vâng, số tiền đó sẽ không an toàn nếu thứ này xâm nhập vào)
- Dữ liệu bảng tạm, nghĩa là nếu bạn sao chép-dán mật khẩu hoặc địa chỉ ví, nó sẽ lấy cắp chúng
- Chi tiết hệ thống như số sê-ri BIOS, webcam của bạn có hoạt động không và thậm chí bất kỳ phiên Remote Desktop (RDP) nào đang diễn ra
Và nó không tạo ra cảnh tượng nào khi thực hiện điều này. Thay vào đó, StilachiRAT âm thầm kéo tất cả thông tin này bằng cách sử dụng các truy vấn Windows Management Instrumentation (WMI). Nó ẩn dưới radar, vì vậy bạn thậm chí sẽ không biết nó đang ẩn.
Ví tiền điện tử được nhắm đến
RAT đặc biệt nhắm vào một loạt tiện ích mở rộng ví Chrome, bao gồm:
- MetaMask
- Trust Wallet
- Coinbase Wallet
- TronLink
- OKX Wallet
- Phantom và nhiều hơn nữa.
Đây không chỉ là một công cụ đánh cắp thông tin thụ động. StilachiRAT được xây dựng để làm nhiều hơn thế, hỗ trợ ít nhất 10 lệnh nguy hiểm, bao gồm:
- Xóa nhật ký sự kiện để che giấu dấu vết
- Tắt hệ thống thông qua API Windows ẩn
- Giết kết nối mạng
- Chạy các ứng dụng cụ thể
- Tìm kiếm một số cửa sổ đang mở trên màn hình nền
- Đánh cắp mật khẩu Chrome đã lưu
- Buộc hệ thống vào chế độ ngủ hoặc chế độ ngủ đông
Tệ hơn nữa, nó liên tục kiểm tra xem nó có đang được phân tích hay không, từ chối chạy đúng cách trong môi trường kiểm tra bảo mật.
Cảnh báo của Microsoft
Microsoft chưa lần ra dấu vết của phần mềm độc hại đến bất kỳ tác nhân đe dọa hoặc khu vực địa lý nào đã biết và việc phân phối của nó dường như bị hạn chế ở giai đoạn này. Tuy nhiên, các nhà nghiên cứu đã quyết định chia sẻ những phát hiện của họ do tính ẩn núp của phần mềm độc hại và khả năng thu thập nhiều loại dữ liệu.
StilachiRAT có thể thực hiện nhiều lệnh khác nhau nhận được từ máy chủ chỉ huy và điều khiển (C2) của nó. Bao gồm khởi động lại hệ thống, xóa nhật ký, đánh cắp thông tin đăng nhập, khởi chạy ứng dụng và thao túng cửa sổ hệ thống.
Microsoft cho biết phần mềm độc hại này cũng có thể tạm dừng hệ thống và sửa đổi cài đặt sổ đăng ký Windows, làm nổi bật khả năng gián điệp và thao túng hệ thống của nó.
Tuyên bố miễn trừ trách nhiệm. Bài viết này không chứa lời khuyên hoặc khuyến nghị đầu tư của coin4vn . Chúng tôi chỉ cung cấp dữ liệu nhằm mục đích làm phong phú thêm thông tin cho người đọc. Mọi động thái đầu tư và giao dịch đều tiềm ẩn rủi ro và độc giả nên tự nghiên cứu khi đưa ra quyết định. Tất cả các hoạt động mua, bán và đầu tư tài sản tiền điện tử là trách nhiệm của người đọc.