Новое вредоносное ПО нацелено на пользователей криптовалюты

Недавно выявленное вредоносное программное обеспечение, известное под названием StilachiRAT, нацелено на пользователей криптовалют, крадя их учетные данные для цифровых кошельков и финансовую информацию. Оно преодолевает защитные механизмы шифрования в браузере Chrome и следит за активностью в буфере обмена, что позволяет ему перехватывать и перенаправлять транзакции.

Согласно отчету Microsoft Incident Response, опубликованному 17 марта 2025 года, StilachiRAT представляет собой троян для удаленного доступа (RAT), специализирующийся на компрометации учетных записей пользователей Google Chrome, особенно тех, кто использует расширения для криптовалютных кошельков и хранит сохраненные логины.

Вредоносное ПО нацеливается на конкретные расширения для криптовалютных кошельков, включая такие, как Bitget Wallet, Trust Wallet, Tronlink и Metamask, в результате чего злоумышленники могут извлекать информацию о цифровых активах жертв. StilachiRAT также имеет возможность красть сохраненные логины в Google Chrome, обходя его шифрование.

В отчете поясняется, что вредоносное ПО извлекает ключи шифрования Google Chrome из локального файла состояния, используя Windows API для расшифровки мастер-ключа на основе контекста текущего пользователя. Это позволяет злоумышленникам получить доступ к сохраненным паролям и именам пользователей, связанным с финансовыми счетами, что значительно увеличивает угрозу для цифровых активов жертв.

Кроме этого, StilachiRAT устанавливает связь с командно-управляемым сервером (C2), что дает удаленным операторам возможность выполнять команды, вмешиваться в системные процессы и оставаться незамеченными даже после первоначального обнаружения.

Вредоносное ПО также постоянно следит за данными в буфере обмена, извлекая ключи криптовалют и конфиденциальную финансовую информацию. Microsoft отмечает, что мониторинг буфера происходит непрерывно, нацеливаясь на такие данные, как пароли и крипто-ключи, а также потенциально личные документы.

Сканируя определенные шаблоны, связанные с адресами криптовалют, StilachiRAT способен перехватывать и заменять скопированные адреса кошельков, перенаправляя транзакции на адреса, управляемые злоумышленниками. Для снижения рисков Microsoft рекомендует пользователям применять меры безопасности, включая использование защиты Microsoft Defender, выбор безопасных браузеров и избегание загрузки непроверенных программ.

С учетом того, что угроза растет, эксперты по кибербезопасности призывают владельцев криптовалют оставаться настороженными и внимательными к новым видам вредоносного ПО, нацеленным на эксплуатацию цифровых активов.