Os pesquisadores da Microsoft identificaram um novo Trojan de acesso remoto (RAT) chamado Stilachirat, projetado para roubar dados, credenciais e informações do sistema da carteira de criptomoeda, mantendo o acesso persistente a dispositivos comprometidos, a empresa divulgou em 17 de março.
O malware, detectado pela primeira vez em novembro de 2024, emprega técnicas furtivas e medidas anti-forenses para evitar a detecção.
Embora a Microsoft ainda não tenha atribuído Stilachirat a um ator de ameaça conhecido, os especialistas em segurança alertam que seus recursos podem representar um risco significativo de segurança cibernética, principalmente para os usuários que lidam com criptografia.
Ameaça sofisticada
O Stilachirat é capaz de digitalizar e extrair dados de 20 extensões de carteira de criptomoeda diferentes no Google Chrome, incluindo metamask, carteira de confiança e carteira de moeda, permitindo que os atacantes acessem fundos armazenados.
Além disso, os malware descriptografaram senhas do Chrome, monitora a atividade da área de transferência para dados financeiros confidenciais e estabelece conexões remotas de comando e controle (C2) via portas TCP 53, 443 e 16000 para executar comandos em máquinas infectadas.
O Rat também monitora as sessões ativas do Protocolo de Desktop Remote (RDP), personifica os usuários, duplicando os tokens de segurança e permite o movimento lateral entre as redes – um recurso especialmente perigoso para ambientes corporativos.
Os mecanismos de persistência incluem a modificação das configurações do serviço do Windows e o lançamento de threads de Watchdog para se restabelecer se removido.
Para evitar ainda mais a detecção, o Stilachirat limpa os logs de eventos do sistema, disfarça chamadas de API e atrasa sua conexão inicial aos servidores C2 por duas horas. Ele também procura ferramentas de análise como TCPView.exe e interrompe a execução se estiverem presentes, dificultando a análise forense.
Estratégias de mitigação e resposta
A Microsoft aconselhou os usuários a baixar o software apenas de fontes oficiais, pois malware como Stilachirat pode se disfarçar como aplicativos legítimos.
A empresa também recomendou a proteção da rede no Microsoft Defender para endpoint e ativar links seguros e anexos seguros no Microsoft 365 para se proteger contra a distribuição de malware baseada em phishing.
O Microsoft Defender XDR foi atualizado para detectar a atividade de Silachirat. Os profissionais de segurança devem monitorar o tráfego de rede em busca de conexões incomuns, inspecionar modificações do sistema e rastrear instalações de serviço não autorizadas que podem indicar uma infecção.
Embora a Microsoft não tenha observado uma distribuição generalizada de Silachirat, a empresa alertou que os atores de ameaças evoluem frequentemente seus malware para ignorar as medidas de segurança. A Microsoft disse que continua monitorando a ameaça e fornecerá mais atualizações por meio de seu blog de inteligência de ameaças.
Mencionado neste artigo
source – cryptoslate.com
