Microsoft 近日揭露了一款名為 StilachiRAT 的新型木馬程式,這款遠端存取木馬具備高級技術,能夠規避檢測、在目標系統中持續存在,並竊取敏感數據。據 Microsoft 的安全團隊調查,StilachiRAT 主要通過 WWStartupCtrl64.dll 模組運行,針對加密貨幣錢包和系統信息進行攻擊。
這款木馬的危險之處在於其能竊取 Google Chrome 瀏覽器中的憑證、監控剪貼簿中的密碼與加密貨幣密鑰,並且收集系統硬件信息及活躍的遠端桌面協議(RDP)會話數據。尤其值得注意的是,它對包括 Coinbase 和 MetaMask 在內的 20 種加密貨幣錢包擴展程式構成威脅。
此外,StilachiRAT 使用 Windows 服務控制管理器(SCM)來運行,並通過「看門狗線程」保證木馬即使被終止也能自動重新啟動,這進一步增強了其持續性和破壞性。目前,Microsoft 已經公開了這種威脅的指標及防禦建議,並提醒使用者應從官方來源下載軟件,啟用支援 SmartScreen 的瀏覽器,並為 Office 365 配置 Safe Links 及 Safe Attachments 功能,以減少風險。不過,Microsoft 尚未確定攻擊者的身份或來源地。
