StilachiRAT — это новый троян удалённого доступа (Remote Access Trojan, RAT), обнаруженный исследователями Microsoft Incident Response в ноябре 2024 года. Он представляет собой сложное вредоносное ПО, разработанное для скрытного проникновения в системы, длительного пребывания в них и кражи конфиденциальной информации. Основной целью StilachiRAT являются учетные данные пользователей, данные криптовалютных кошельков и другая чувствительная информация, что делает его особенно опасным для частных лиц и организаций.
Основные характеристики StilachiRAT
-
Сбор системной информации:
StilachiRAT собирает подробные данные о заражённой системе, включая сведения об операционной системе, идентификаторы оборудования, серийные номера BIOS, наличие камеры, активные сеансы Remote Desktop Protocol (RDP) и запущенные графические приложения. Для этого он использует интерфейсы Component Object Model (COM) и язык запросов WMI (WQL). Эта информация позволяет злоумышленникам составить детальный профиль жертвы. -
Кража данных криптовалютных кошельков:
Вредоносное ПО нацелено на более чем 20 расширений криптовалютных кошельков для браузера Google Chrome, включая популярные MetaMask, Coinbase Wallet, Trust Wallet, Phantom, Bitget Wallet и другие. StilachiRAT проверяет настройки в реестре Windows (например,\SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings
), чтобы определить, установлены ли эти расширения, а затем извлекает конфигурационные данные и учетные записи. -
Извлечение учетных данных:
Троян извлекает сохранённые в браузере Chrome имена пользователей и пароли. Он использует зашифрованный ключ из файла Local State (расположенного в%LOCALAPPDATA%\Google\Chrome\User Data\Local State
), который расшифровывает с помощью Windows API в контексте текущего пользователя. Далее он обращается к базе данных SQLite в%LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data
для получения учетных данных. -
Мониторинг буфера обмена:
StilachiRAT постоянно отслеживает содержимое буфера обмена, выискивая скопированные пароли, ключи криптовалютных кошельков или другие ценные данные. Это делает его особенно опасным для пользователей, которые часто копируют конфиденциальную информацию. -
Связь с сервером управления (C2):
Вредонос устанавливает двухстороннюю связь с командно-контрольным сервером (C2) через порты TCP, такие как 53 (DNS), 443 (HTTPS) или 16000, что помогает маскировать трафик под легитимный. Он поддерживает выполнение команд, включая перезагрузку системы, очистку логов, запуск приложений, изменение реестра и удаление себя. -
Механизмы устойчивости:
- Может работать как самостоятельный компонент или как служба Windows, используя Windows Service Control Manager (SCM) для автоматического запуска после перезагрузки.
- Применяет “watchdog threads” (потоки наблюдения), которые проверяют наличие файлов трояна и воссоздают их из внутренней копии, если они были удалены.
-
Методы уклонения от обнаружения:
- Очищает журналы событий Windows (например, Event ID 1102), чтобы скрыть следы своей активности.
- Проверяет наличие инструментов анализа (например, TCPView) и песочниц, задерживая выполнение или изменяя поведение в виртуальных средах.
- Шифрует вызовы Windows API и использует собственный алгоритм для кодирования текстовых строк, затрудняя анализ.
Как распространяется?
Microsoft пока не установила точные способы доставки StilachiRAT, но предполагается, что он может распространяться через типичные векторы атак RAT: фишинговые письма, вредоносные вложения, троянизированное ПО, скомпрометированные сайты или эксплойты уязвимостей в устаревшем софте.
Уровень распространения и авторство
На март 2025 года StilachiRAT не получил широкого распространения, и Microsoft не связывает его с конкретной группой злоумышленников или географическим регионом. Однако его сложность и скрытность указывают на высокий уровень подготовки разработчиков.
Как защититься?
- Антивирус: Используйте обновлённое антивирусное ПО (например, Microsoft Defender с включённой защитой в реальном времени) для сканирования и удаления.
- Осторожность с ПО: Загружайте программы только из официальных источников.
- Двухфакторная аутентификация (2FA): Включите 2FA для всех важных аккаунтов.
- Ограничение расширений: Устанавливайте только необходимые браузерные расширения и проверяйте их происхождение.
- Холодное хранение: Храните криптовалюты в аппаратных кошельках, а не в браузерных расширениях.
- Мониторинг: Следите за подозрительными исходящими подключениями (особенно через порты 53, 443, 16000) и изменениями в службах Windows.
Почему это важно?
StilachiRAT демонстрирует растущую тенденцию к созданию многофункциональных вредоносных программ, которые сочетают разведку, кражу данных и уклонение от обнаружения в одном пакете. Даже при ограниченном распространении его возможности делают его серьёзной угрозой, особенно для пользователей криптовалют и организаций с активными RDP-сессиями, где он может использоваться для горизонтального перемещения по сети.