18/03/25
Он использует сложные техники для маскировки, закрепления в системе и кражи конфиденциальных данных. Несмотря на ограниченное распространение, компания решила публично поделиться индикаторами компрометации и рекомендациями по защите, чтобы помочь специалистам по кибербезопасности обнаружить угрозу и минимизировать её последствия. Об этом пишет Securitylab.
Впервые StilachiRAT был выявлен в ноябре 2024 года исследователями Microsoft Incident Response. Анализ модуля «WWStartupCtrl64.dll», содержащего основные функции трояна, показал, что он способен похищать данные учётных записей, информацию из цифровых кошельков, данные из буфера обмена, а также сведения о системе.
Одним из ключевых элементов StilachiRAT является функция разведки, которая позволяет собирать информацию об аппаратной конфигурации устройства, наличии веб-камеры, активных сессиях удалённого рабочего стола (RDP) и запущенных графических приложениях. Также вредонос отслеживает активные окна и процессы, анализируя поведение пользователей.
После заражения системы StilachiRAT ориентируется на кражу данных криптовалютных кошельков, проверяя настройки 20 популярных расширений, включая Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet и другие. Кроме того, троян извлекает сохранённые в браузере Google Chrome пароли и отслеживает буфер обмена в поисках учётных данных и криптовалютных ключей.
Чтобы обеспечить свою устойчивость в системе, StilachiRAT использует сервисный диспетчер Windows (SCM) и создаёт «сторожевой» процесс, следящий за активностью вредоносных бинарных файлов и автоматически восстанавливающий их в случае удаления. Эта механика позволяет трояну незаметно возобновлять работу даже после попыток его устранить.
Дополнительная угроза связана с возможностью StilachiRAT отслеживать активные RDP-сессии и копировать токены безопасности пользователей, что позволяет атакующим двигаться по сети, используя привилегированные учётные записи. Вредонос получает данные о текущей сессии, запускает окна на переднем плане и дублирует привилегии администратора, получая возможность запускать программы с повышенными правами.
StilachiRAT также обладает мощными механизмами противодействия анализу. Он умеет очищать журналы событий Windows, определять, работает ли он в песочнице, и использовать динамическое разрешение вызовов API, что затрудняет его изучение. Если трояну удаётся выявить запуск в среде анализа, он меняет своё поведение, чтобы избежать обнаружения.
Помимо сбора данных и скрытности, вредонос поддерживает выполнение команд от управляющего C2-сервера. Он способен перезагружать заражённую систему, манипулировать системными окнами, изменять параметры реестра Windows, приостанавливать работу устройства и выполнять произвольные приложения. Также возможна работа в режиме прокси для маршрутизации сетевого трафика через заражённую машину.
Чтобы минимизировать риск заражения StilachiRAT, Microsoft рекомендует загружать программное обеспечение только с официальных источников, использовать актуальные антивирусные решения, а также блокировать подозрительные домены и вредоносные вложения в электронной почте.
