Pesquisadores da Microsoft, especializados em resposta a incidentes, descobriram recentemente um novo tipo de trojan de acesso remoto (RAT) denominado StilachiRAT, projetado para atacar extensões de carteiras de criptomoeda no navegador Google Chrome.
Essa ameaça foi identificada pela primeira vez em novembro do ano passado, e a Microsoft alerta para seu potencial de roubo de informações sensíveis, como credenciais de carteiras digitais e dados armazenados na área de transferência.
De acordo com a análise realizada pela equipe de resposta a incidentes da Microsoft, o StilachiRAT possui características sofisticadas que permitem sua detecção evasiva.
O malware é capaz de se infiltrar nas configurações do sistema e verificar a instalação de extensões de carteiras populares como MetaMask, OKX, Coinbase e Trust Wallet, entre outras. A partir daí, ele pode extrair dados críticos, como chaves de criptomoeda e senhas salvas no arquivo local de estado do Google Chrome.
A análise do módulo WWStartupCtrl64.dll, que contém as capacidades do RAT, revelou que o malware pode acessar informações do sistema, incluindo detalhes sobre o sistema operacional, identificadores de hardware (como números de série da BIOS), sessões ativas de Remote Desktop Protocol (RDP), além de detectar a presença de câmeras e aplicativos com interface gráfica (GUI) em execução.
Essas informações são coletadas utilizando interfaces como Component Object Model (COM) e Web-based Enterprise Management (WBEM), com o uso de consultas WMI Query Language (WQL).
Além disso, o StilachiRAT foi projetado para realizar ações anti-forenses, como limpar logs de eventos, e detectar se está sendo executado em um ambiente de sandbox, o que dificulta suas tentativas de análise e investigação.
A comunicação do malware com o servidor de comando e controle (C2) é bidirecional, o que significa que os atacantes podem enviar comandos ao RAT e manipular o sistema comprometido de acordo com suas necessidades. A Microsoft observou que o malware possui dez comandos diferentes, permitindo uma ampla gama de atividades de espionagem e manipulação do sistema.
Embora a origem do malware ainda não tenha sido identificada, a Microsoft compartilhou publicamente essas informações como parte de seu esforço contínuo para monitorar e relatar ameaças cibernéticas. Embora o StilachiRAT não tenha sido detectado em grande escala até o momento, a empresa recomenda que tanto usuários individuais quanto instituições adotem medidas preventivas, como a instalação de antivírus, soluções anti-phishing baseadas em nuvem e ferramentas de proteção contra malware.
A Microsoft também destacou a importância de compreender que o StilachiRAT pode ser entregue de várias maneiras, embora os detalhes sobre seu vetor de ataque ainda sejam desconhecidos. A ameaça vem em um momento em que o ambiente de criptomoedas enfrenta um aumento significativo de atividades criminosas, com perdas de mais de US$ 1,53 bilhões devido a golpes de phishing e hacks no mês de fevereiro, conforme dados da CertiK, uma empresa especializada em segurança de blockchain.
A Chainalysis, outra empresa de análise de blockchain, observou que o aumento na aceitação das criptomoedas também trouxe consigo uma escalada nas atividades ilícitas dentro do ecossistema. A firma apontou que os métodos de hacking se tornaram mais sofisticados e complexos, com o surgimento de serviços de grande escala no blockchain que facilitam o processo de lavagem de dinheiro para criminosos.
Estima-se que endereços ilícitos tenham recebido US$ 40,9 bilhões em transações de crime cibernético, representando cerca de 0,14% do volume total de transações no blockchain. A Chainalysis prevê que esse número aumentará até 2026, à medida que mais endereços ilegais forem identificados.
