StilachiRAT – új RAT fenyegeti a kriptó-tárcákat

Editors' Pick

A Microsoft egy új, kifinomult távoli hozzáférésű trójait (RAT) fedezett fel, amely fejlett technikákat alkalmaz a felismerés elkerülésére, tartós jelenlétének fenntartására és érzékeny adatok kiszivárogtatására. A StilachiRAT névre keresztelt rosszindulatú program jelenlegi elterjedtsége korlátozott, azonban a Microsoft nyilvánosságra hozta a fertőzésre utaló indikátorokat és az ajánlott védelmi intézkedéseket, hogy segítse a hálózatbiztonsági szakembereket a fenyegetés észlelésében és hatásának csökkentésében. Mivel a támadások földrajzi eloszlása és a fenyegetés mögött álló szereplők egyelőre nem azonosíthatók, a kockázat felmérése jelenleg is folyamatban van.

A StilachiRAT fejlett információgyűjtési és adatlopási képességekkel rendelkezik. A Microsoft elemzése szerint a rosszindulatú program böngészőkben tárolt hitelesítő adatokat, digitális pénztárcák információit, vágólapon tárolt adatokat és rendszerinformációkat is képes megszerezni. Az egyik legjelentősebb veszélyt a kriptovaluta-tárcák célzott támadása jelenti: a malware több mint 20 különböző kriptotárca-bővítmény konfigurációs adatait képes leolvasni, köztük a Coinbase Wallet, Metamask és Trust Wallet alkalmazásokat. Ezenkívül a trójai figyeli az aktív ablakokat és alkalmazásokat, hogy nyomon kövesse a felhasználó tevékenységét.

A malware tartós jelenlétet biztosít magának az operációs rendszerben Windows-szolgáltatásként vagy önálló folyamatként, és a Windows Service Control Manager (SCM) segítségével automatikusan újratelepíti magát, ha eltávolításra kerül. Továbbá képes figyelni az aktív Távoli Asztali Protokoll (RDP) munkameneteket, megszerezve a háttérben futó folyamatok biztonsági tokeneit, ami lehetővé teszi a támadók számára, hogy jogosultságokat másoljanak és oldalirányú mozgást végezzenek a fertőzött hálózatokban. A trójai kiterjedt rejtőzködési képességekkel is rendelkezik, például képes eseménynaplók törlésére, sandbox környezet érzékelésére és a kártevőelemzések akadályozására.

A Microsoft figyelmeztet, hogy a StilachiRAT képes távoli parancsok végrehajtására és egy SOCKS-proxyként is működhet, lehetővé téve a támadók számára, hogy a fertőzött rendszert további támadások végrehajtására használják. A trójai naplók törlésére, hitelesítő adatok ellopására, alkalmazások végrehajtására és a Windows rendszerkonfigurációk módosítására is alkalmas. A fertőzések megelőzése érdekében a Microsoft azt javasolja, hogy a felhasználók kizárólag hivatalos forrásokból töltsenek le szoftvereket, és alkalmazzanak olyan biztonsági megoldásokat, amelyek blokkolják a rosszindulatú domaineket és e-mail-mellékleteket.

(forrás)