近日,科技新闻界传来新警报,知名技术媒体bleepingcomputer于3月17日披露了一项重大安全威胁。据悉,微软安全研究团队已识别出一种名为StilachiRAT的新型远程访问木马(RAT),此恶意软件凭借高超的技术手段,在逃避安全检测、保持长期潜伏及窃取敏感信息方面展现出了强大的能力。
据bleepingcomputer详细分析,StilachiRAT通过名为WWStartupCtrl64.dll的模块,专门瞄准了包括Coinbase、metamask等在内的20种加密货币钱包扩展,企图窃取用户的数字资产信息。这一行为无疑对数字货币用户构成了严重威胁。
该木马还具备更为广泛的信息窃取能力。它能够提取Chrome浏览器中保存的登录凭证,监控剪贴板中的密码和加密货币密钥,记录系统的硬件信息以及活跃的远程桌面协议(RDP)会话。这些行为无疑进一步加剧了其潜在的危险性。
更为引人注目的是,StilachiRAT还会收集目标系统的摄像头状态、GUI应用程序的运行情况,从而构建出详尽的系统画像,以便锁定高价值的攻击目标。通过克隆用户的安全令牌,该木马能够伪装成合法用户登录系统,甚至突破RDP服务器的管理员会话限制,在受害网络中实现横向渗透。
在部署方式上,StilachiRAT通常以独立进程或Windows服务的形式存在,并绑定到Windows服务控制管理器(SCM)以实现持久化。为了确保其不被轻易清除,该木马还利用“看门狗线程”持续监控自身进程,一旦检测到被终止,便会立即重建。
