Gli analisti di Microsoft Incident Response hanno scoperto un nuovo Trojan di accesso remoto (RAT) denominato StilachiRAT. Il malware ruba credenziali sensibili e prende di mira i portafogli di criptovaluta. È particolarmente abile nell'evitare il rilevamento e dispone di varie funzionalità, tra cui capacità di persistenza avanzate e protocolli di comando e controllo.
StilachiRAT monitora i dati locali di Google Chrome ed esegue la scansione degli appunti alla ricerca di informazioni sensibili. Secondo Microsoft, il malware ha diverse funzionalità anti-forensi, come la cancellazione dei log e il controllo se è contenuto in una sandbox. Microsoft non sa chi si nasconde dietro il malware, ma insiste sul fatto che una maggiore conoscenza del RAT proteggerà i consumatori.
“Nel novembre 2024”, secondo il blog sulla sicurezza di Microsoft, “i ricercatori di Microsoft Incident Response hanno scoperto un nuovo trojan di accesso remoto (RAT) che abbiamo chiamato StilachiRAT che dimostra tecniche sofisticate per eludere il rilevamento, persistere nell’ambiente di destinazione ed esfiltrare dati sensibili”.
"L'analisi del modulo WWStartupCtrl64.dll di StilachiRAT che contiene le funzionalità RAT ha rivelato l'uso di vari metodi per rubare informazioni dal sistema di destinazione, come credenziali archiviate nel browser, informazioni sul portafoglio digitale, dati archiviati negli appunti e informazioni di sistema".
StilachiRAT può scansionare la rete e viaggiare tra i dispositivi. Il malware finge di essere un servizio Microsoft autorizzato, vanificando così i tentativi di scoprire cosa sta facendo. Può anche impersonare gli utenti, ottenere l'accesso ai sistemi e utilizzare tali credenziali per attaccare più sistemi.
Se installato su un sistema compromesso, il malware può scansionare i dati di configurazione da 20 diversi portafogli di criptovaluta, inclusi il portafoglio Coinbase, il portafoglio Metamask e il portafoglio OKX.
Secondo il blog di Microsoft, “Il canale di comunicazione” viene stabilito utilizzando le porte TCP 53, 443 o 16000, selezionate in modo casuale. Inoltre, il malware verifica la presenza di tcpview.exe e non procede se ne è presente uno."
"Ritarda inoltre la connessione iniziale di due ore, presumibilmente per eludere il rilevamento. Una volta connesso, un elenco di finestre attive viene inviato al server".
StilachiRAT ottiene quindi "persistenza" utilizzando Windows Service Control Manager (SCM) per monitorare i file binari del malware e reinstallarli se diventano inattivi. Il malware esegue i programmi utilizzando un processo autonomo o un servizio Windows.
"I checksum API precalcolati", secondo il blog di Microsoft, "sono archiviati in più tabelle di ricerca, ciascuna mascherata con un valore XOR. Durante il lancio, il malware seleziona la tabella appropriata in base al nome API con hash, applica la maschera XOR corretta per decodificare il valore e risolve dinamicamente la corrispondente funzione API di Windows".
"Il puntatore alla funzione risolto viene quindi memorizzato nella cache, ma con una maschera XOR aggiuntiva applicata, che impedisce alle semplici scansioni della memoria di identificare i riferimenti API."
StilachiRAT prende di mira anche i server RDP per imitare gli utenti e diffondersi in tutta la rete. Il malware può clonare i token di sicurezza e monitorare i dati dalle finestre aperte, con l'obiettivo di rimanere inosservato il più a lungo possibile.
Microsoft potrebbe utilizzare ulteriormente queste informazioni per sostituire Chrome con Edge, il browser interno. Affermano che Edge può proteggere meglio i tuoi dati utilizzando SmartScreen per filtrare siti Web dannosi, malware e tentativi di phishing.
I dirigenti di Google hanno notato che la campagna mira ad attirare gli utenti di Chrome su Edge. È bene comprendere gli interessi aziendali che stanno alla base di un avviso di sicurezza, soprattutto da parte di un'azienda come Microsoft, che attualmente sta combattendo una guerra dei browser contro Chrome. Potrebbero inoltre provare ad aggiornare il proprio browser senza condividere informazioni con Chrome per assicurarsi un maggiore dominio sul mercato.