Mimoriadne tichý a zákerný: Trójskeho koňa StilachiRAT z počítača len tak nedostaneš, varuje Microsoft. Takto sa mu vyhneš
Bezpečnostní analytici z Microsoftu odhalili novú hackerskú kampaň, ktorá šíri StilachiRAT malvér.
Bezpečnostní analytici Microsoftu odhalili nový Remote Access Trojan, ktorý pomenovali StilachiRAT. Ide o sofistikovaný malvér, ktorý sa dokáže šikovne vyhnúť odhaleniu a udržiava sa dlhodobo v systéme obete.
RAT malvér StilachiRAT kradne citlivé dáta zo zariadení užívateľov. Na kradnutie dát využíva malvér niekoľko rôznych metód. Napríklad dokáže ukradnúť prihlasovacie údaje v prehliadači, dáta kryptopeňaženiek, skopírované dáta, či systémové informácie. Bezpečnostní experti z Microsoftu nepriradili StilachiRAT žiadnej špecifickej hackerskej skupine alebo polohe.
Zároveň si experti všimli, že malvér zatiaľ nie je nejak výrazne rozšírený, no v tomto tvrdení sú opatrní. StilachiRAT je extrémne nenápadný a veľmi rýchlo sa mení. Znamená to, že mnoho útokov môže zatiaľ ostať neodhalených. Práve preto analytici starostlivo monitorujú online priestor.
Na začiatku trójsky kôň StilachiRAT analyzuje zariadenie a zozbiera informácie o systéme. Identifikuje operačný systém, hardvér počítača, či má zariadenie mikrofón a webkameru a ďalšie citlivé informácie. Následne začína svoju operáciu. Ako sme už spomenuli, jednou z funkcií malvéru je kradnutie dát kyberpeňaženky. StilachiRAT dokáže odhaliť až 20 odlišných kryptopeňaženkových rozšírení pre prehliadač Chrome.
Popri dátach kryptopeňaženky dokáže kradnúť aj prihlasovacie údaje uložené v prehliadači. StilachiRAT nadväzuje aj spojenie s command and control serverom hackerov. Vďaka tomu môže posielať exfiltrované dáta útočníkom a tí môžu malvéru zadávať dodatočné príkazy.
Neprehliadni
“StilachiRAT malvér zbiera množstvo citlivých informácií o zariadení obete. Tieto informácie zbiera cez Component Object Model a Web-based Enterprise Management. Trójsky kôň zároveň dáva zariadeniu jedinečný identifikátor, ktorý sa zakladá na sériovom čísle zariadenia a útočníkovým verejným RSA kľúčom,” píše Microsoft.
Ako sme spomenuli, malvér dokáže kradnúť aj kryptopeňaženkové rozšírenia. Nižšie nájdeš zoznam rozšírení, ktoré dokáže trójsky kôň StilachiRAT napadnúť:
- Bitget Wallet
- Trust Wallet
- TronLink
- MetaMask
- TokenPocket
- BNB Chain Wallet
- OKX Wallet
- Sui Wallet
- Braavos – Starknet Wallet
- Coinbase Wallet
- Leap Cosmos Wallet
- Manta Wallet
- Keplr
- Phantom
- Compass Wallet for Sei
- Math Wallet
- Fractal Wallet
- Station Wallet
- ConfluxPortal
- Plug
Kradnutie prihlasovacích údajov
Okrem kryptopeňaženiek dokáže malvér StilachiRAT získať aj prihlasovacie údaje, ktoré máš uložené v prehliadači Google Chrome. Všetky ukradnuté dáta následne posiela na C2 server hackerov.
StilachiRAT môže byť spustený vo Windows operačnom systéme buď ako Windows služba alebo ako samostatný komponent. V oboch prípadoch má trójsky kôň niekoľko poistiek, ktoré bránia tomu, aby užívateľ malvér odstránil. Funkcia monitoruje chod EXE súboru a DLL súborov. Ak a ukáže, že tieto súbory nefungujú alebo boli odstránené, malvér ich dokáže opätovne vytvoriť zo zálohy.
StilachiRAT malvér zároveň monitoruje RDP zachytávaním informácií o oknách v popredí. Popri tom duplikuje bezpečnostné tokeny, aby sa mohol vydávať za rôznych užívateľov. Ide o obzvlášť riskantný krok, pretože malvéru dovoľuje laterálny pohyb v rámci sietí.
“Popri tomto všetkom malvér zbiera celý rad užívateľských dát, vrátane informácií o inštalácií softvéru alebo o aktívnych aplikáciách. Monitoruje aktívne GUI okná a tieto informácie posiela na C2 server. Ide o jeden zo spôsobov, ako môže malvér sledovať užívateľské správanie,” vysvetľujú výskumníci z Microsoftu.
Vyšetrovatelia odhalili, že sa malvér často šíri maskovaný za legitímne aplikácie alebo ako aktualizácie pre legitímny softvér. V tomto smere radia, aby užívatelia sťahovali programy len z dôveryhodných zdrojov. Kvalitný antivírový softvér ti tiež môže pomôcť chrániť zariadenie pred útokom.
Hoci malvér nezaznamenali výskumníci vo veľkom, kvôli svojej utajenosti môže byť kampaň oveľa väčšia, než prvotne bezpečnostní analytici odhadli. Preto treba v online priestore neustále dávať pozor na to, čo sťahujeme a odkiaľ súbor sťahujeme. Aj v pirátskych softvéroch sa malvér ukrýva pomerne často.
Komentáre