Microsoft ha identificato un nuovo trojan di accesso remoto (RAT) progettato per rubare criptovaluta agli utenti prendendo di mira le estensioni del portafoglio digitale su Google Chrome.
Il malware, denominato StilachiRAT, è sotto indagine dal novembre 2024 e gli esperti di sicurezza avvertono che rappresenta una minaccia significativa per i detentori di criptovalute.
Come funziona StilachiRAT
Secondo l'Incident Response Team di Microsoft, StilachiRAT è in grado di estrarre le credenziali archiviate nel browser, scansionare i dispositivi per estensioni del portafoglio crittografico e intercettare informazioni sensibili come chiavi private e password.
È stato scoperto che il malware prende di mira specificamente almeno 20 portafogli di criptovaluta, tra cui Bitget Wallet (ex BitKeep), Trust Wallet, Coinbase Wallet, MetaMask, TronLink e OKX Wallet. Una volta distribuito, può rubare le risorse digitali archiviate accedendo ai dati degli appunti ed estraendo credenziali private.
La ricerca di Microsoft indica che StilachiRAT opera di nascosto , utilizzando varie tecniche di evasione per evitare il rilevamento. Il malware si installa tramite un file di libreria compromesso, WWStartupCtrl64.dll, che esegue comandi remoti per manipolare i sistemi infetti.
Una volta attivo, esegue la scansione del dispositivo alla ricerca di estensioni del portafoglio crittografico ed estrae le credenziali salvate dai file di stato locali di Google Chrome. Una caratteristica chiave del malware è la sua capacità di monitorare l'attività degli appunti, il che significa che se gli utenti copiano e incollano indirizzi o password di portafogli crittografici , StilachiRAT può acquisire e reindirizzare tali informazioni all'aggressore.
Microsoft ha inoltre scoperto che il trojan include funzionalità anti-forensi, come la cancellazione dei registri degli eventi e il rilevamento degli ambienti sandbox per evitare di essere analizzati dai ricercatori di sicurezza informatica.
Raccomandazioni sulla risposta e sulla sicurezza di Microsoft
Al momento, Microsoft non ha attribuito l'attacco a nessun gruppo specifico di hacker ma ha avvertito che, a causa della natura dell'ecosistema malware, StilachiRAT potrebbe evolversi rapidamente . In un post sul blog, la società ha dichiarato:
In base all'attuale visibilità di Microsoft, al momento il malware non presenta una distribuzione diffusa. Tuttavia, a causa delle sue capacità invisibili e dei rapidi cambiamenti all’interno dell’ecosistema malware, condividiamo questi risultati come parte dei nostri continui sforzi per monitorare, analizzare e segnalare l’evoluzione del panorama delle minacce.
Microsoft consiglia agli utenti di adottare misure precauzionali per evitare di cadere vittima di StilachiRAT e minacce simili. L'azienda consiglia di installare un software antivirus , abilitare la protezione anti-phishing e anti-malware basata su cloud e garantire che tutte le estensioni del browser provengano da fonti attendibili.
Gli utenti dovrebbero anche prestare attenzione quando copiano e incollano indirizzi e password dei portafogli, poiché malware come StilachiRAT sfruttano specificamente i dati degli appunti.
Con i crescenti rischi per la sicurezza nel settore delle criptovalute, l'avvertimento di Microsoft sottolinea l'importanza di rimanere vigili contro le minacce informatiche. Mentre gli hacker sviluppano tecniche sempre più avanzate per compromettere i portafogli digitali, gli investitori e gli utenti comuni devono adottare misure proattive per proteggere i propri beni.
Immagine in primo piano creata con DALL-E, grafico da TradingView