Исследователи Microsoft Incident Response выявили опасного трояна удаленного доступа (RAT) под названием StilachiRAT, предназначенного для кражи криптовалют и учетных данных. Этот вредонос атакует 20 различных браузерных расширений в Google Chrome, включая MetaMask, Coinbase Wallet, Trust Wallet, OKX Wallet, Bitget Wallet и Phantom.

StilachiRAT не просто похищает логины и пароли, но и глубоко анализирует систему, собирая данные о оборудовании, RDP-сессиях, установленных приложениях и даже подключенных камерах. Фиксируется поведение пользователя, после чего все сведения отправляются на командный сервер злоумышленников.

Троян обладает устойчивостью в системе за счет манипуляции сервисами Windows, что делает его сложно обнаруживаемым и удаляемым. Он использует TCP-порты 53, 443 и 16000 для связи с управляющим сервером, что позволяет хакерам выполнять команды, очищать логи и изменять реестр.

Для защиты Microsoft рекомендует загружать ПО только из официальных источников, использовать SmartScreen в браузерах и безопасные ссылки для Office 365. Пользователи Microsoft Defender XDR могут проверить сеть на наличие TrojanSpy:Win64/Stilachi.A.

Источник