microsoft krypto-trojaner
Microsoft har avdekket skadevaren StilachiRAT, som stjeler kryptovaluta og sensitive data via en avansert trojaner. Den overvåker systeminformasjon, digitale lommebøker og utklippstavlen, samt etablerer fjernstyring og unngår oppdagelse med anti-forensiske teknikker. Bilde: Microsoft

Annonse


Microsoft oppdaget den store Bitcoin-skrekken

Trond Bie·

Microsoft har avslørt en skadevare de har døpt StilachiRAT, og den stjeler blant annet kryptovaluta som en meget avansert trojaner. Selskapet opplyser de oppdaget den i november 2024.

Artikkelen inneholder annonser

«StilachiRAT» kombinerer informasjonsinnsamling og kryptotyveri

«Analyse av StilachiRATs WWStartupCtrl64.dll-modul, som inneholder RAT-funksjonaliteten, avslørte bruk av ulike metoder for å stjele informasjon fra målsystemet, slik som legitimasjoner lagret i nettleseren, data fra digitale lommebøker, informasjon lagret i utklippstavlen, samt systeminformasjon,» opplyser Microsoft.

Trojaneren overvåker og henter informasjon fra digitale lommebøker i Google Chrome, blant annet – Microsoft lister opp hva som skjer:

Annonse


  • Systemrekognosering: Samler inn omfattende systeminformasjon, inkludert operativsystemdetaljer (OS), maskinvareidentifikatorer, kameratilstedeværelse, aktive Remote Desktop Protocol (RDP)-økter og kjørende grafiske brukergrensesnitt (GUI)-applikasjoner, noe som muliggjør detaljert profilering av målsystemet.
  • Målretting av digitale lommebøker: Skanner etter konfigurasjonsdata fra 20 forskjellige kryptovaluta-lommebokutvidelser for Google Chrome-nettleseren.
  • Tyveri av legitimasjon: Ekstraherer og dekrypterer lagrede legitimasjoner fra Google Chrome, noe som gir tilgang til brukernavn og passord lagret i nettleseren.
  • Kommando-og-kontroll (C2) tilkobling: Etablerer kommunikasjon med eksterne C2-servere ved bruk av TCP-portene 53, 443 eller 16000, noe som muliggjør ekstern kommandoutførelse og potensielt SOCKS-lignende proxying.
  • Kommandoutførelse: Støtter en rekke kommandoer fra C2-serveren, inkludert systemomstarter, sletting av logger, registermanipulering, kjøring av applikasjoner og systemnedstengning.
  • Vedvarende mekanismer: Oppnår vedvarende tilstedeværelse gjennom Windows Service Control Manager (SCM) og bruker overvåkningstråder for å sikre gjenoppretting hvis den blir fjernet.
  • RDP-overvåkning: Overvåker RDP-økter, fanger opp informasjon om aktive vinduer og utgir seg for brukere, noe som muliggjør potensiell lateral bevegelse innenfor nettverk.
  • Utklippstavle- og dataregistrering: Overvåker kontinuerlig utklippstavleinnhold, aktivt på jakt etter sensitiv informasjon som passord og kryptovalutanøkler, samtidig som den sporer aktive vinduer og applikasjoner.
  • Anti-forensikk og unnvikelse: Bruker anti-forensiske taktikker ved å slette hendelseslogger, oppdage analyserverktøy og implementere sandbox-unngående atferd for å unngå deteksjon.

Bruk alltid en passordbehandler, som NordPass.

Microsoft uttaler at de ennå ikke har knyttet StilachiRAT til en spesifikk trusselaktør eller geografisk lokasjon. Skadevaren ser foreløpig ikke ut til å være utbredt, men dette kan endre seg.

«Microsoft har ennå ikke tilskrevet StilachiRAT til en spesifikk trusselaktør eller geografisk lokasjon. Basert på Microsofts nåværende innsikt viser ikke denne skadevaren utbredt spredning på nåværende tidspunkt. Imidlertid, på grunn av dens evne til å operere skjult og de raske endringene i skadevareøkosystemet, deler vi disse funnene som en del av vårt pågående arbeid med å overvåke, analysere og rapportere om det stadig utviklende trussellandskapet.»

Microsoft forklarer også hvordan trojaneren utnytter Chrome: «StilachiRAT henter Google Chromes encryption_key fra den lokale tilstandsfilen i brukerens katalog. Siden nøkkelen er kryptert når Chrome først installeres, bruker skadevaren Windows API-er som avhenger av den nåværende brukerens kontekst for å dekryptere hovednøkkelen. Dette gir tilgang til lagrede legitimasjoner i passordhvelvet. De lagrede legitimasjonene hentes fra følgende steder:

  • %LOCALAPPDATA%\Google\Chrome\User Data\Local State – stores Chrome’s configuration data, including the encrypted key.
  • %LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data – stores entered user credentials.»

Disse kryptotjenestene er utsatt:

  • Bitget Wallet (tidligere BitKeep)
  • Trust Wallet
  • TronLink
  • MetaMask (Ethereum)
  • TokenPocket
  • BNB Chain Wallet
  • OKX Wallet
  • Sui Wallet
  • Braavos – Starknet Wallet
  • Coinbase Wallet
  • Leap Cosmos Wallet
  • Manta Wallet
  • Keplr
  • Phantom
  • Compass Wallet for Sei
  • Math Wallet
  • Fractal Wallet
  • Station Wallet
  • ConfluxPortal
  • Plug

Annonse

Annonse

eToro – Krypto, aksjer og sosial trading

  • 💰 Kjøp Bitcoin, Ethereum og andre kryptovalutaer
  • 🔁 Kopier handler fra erfarne tradere automatisk
  • 🧪 Gratis demokonto for nye brukere
  • 📊 Over 10 000 investeringsobjekter
  • 📉 Handle aksjer, ETF-er, råvarer og valuta
  • 🌍 Brukes av millioner av investorer globalt
Den beste
Start gratis – kjøp krypto
Flott ★★★★☆ 30 759 anmeldelser

eToro er en investeringsplattform. Kapitalen din er i risiko.

eToro er en investeringsplattform med flere aktiva/eiendeler. Verdien av investeringene dine kan gå opp eller ned. Kapitalen din er i fare.

Slik opererer «StilachiRAT:»

1. Systemrekognosering

INSERT
  • Samler inn omfattende informasjon om systemet, inkludert OS-detaljer, maskinvare-ID-er, kameraets tilstedeværelse, aktive RDP-økter og applikasjoner i bruk.
  • Bruker Windows Management Instrumentation (WMI) for å hente informasjon om systemet.

2. Tyveri av kryptovaluta og passord

  • Krypto-lommebøker: Skanner Google Chrome-registeret for å sjekke om utvidelser for kryptovaluta-lommebøker er installert.
  • Utklippstavle-overvåkning: Leser innholdet i utklippstavlen kontinuerlig for å finne kryptonøkler, passord og sensitive data.
  • Google Chrome-passord: Dekrypterer lagrede påloggingsdetaljer fra Chrome ved å hente krypteringsnøkkelen fra brukerens katalog.

3. Kommando-og-kontroll (C2)

  • Koble seg til fjernservere via TCP-portene 53, 443 eller 16000.
  • Forsinker tilkoblingen med to timer for å unngå oppdagelse.
  • Sender liste over aktive vinduer til C2-serveren.

4. Vedvarende tilstedeværelse

  • Installeres som en Windows-tjeneste eller kjører som en standalone-prosess.
  • Bruker watchdog-tråder for å sjekke om skadevaren er slettet, og reinstallerer seg selv ved behov.
  • Manipulerer Windows-registeret for å sikre at den starter ved oppstart.

5. RDP-overvåking og brukerimitasjon

  • Overvåker RDP-økter, fanger opp aktive vinduer og utgir seg for brukeren ved å duplisere sikkerhetstokener.
  • Kan bevege seg lateralt i nettverk der RDP brukes.

6. Anti-forensiske teknikker

  • Tømmer Windows-hendelseslogger for å slette spor.
  • Oppdager analyseverktøy og vil avslutte seg selv om det oppdager f.eks. tcpview.exe.
  • Bruker avansert obfuskering av API-kall og kodestrukturer for å unngå oppdagelse.

7. Fjernkommandoer fra C2-serveren

  • Omstart av systemet.
  • Sletting av logger.
  • Nedlasting og kjøring av nye filer.
  • Endring av Windows-registeret.
  • Overvåking av åpne vinduer og skjerminnhold.
  • StilachiRAT er altså en avansert skadevare som kombinerer informasjonsinnsamling, kryptotyveri, vedvarende tilstedeværelse og anti-forensiske teknikker for å unngå oppdagelse og sikre at angriperen har langvarig kontroll over et infisert system.

💬 Hopp til kommentarene

Annonse