Microsoft alerta sobre un nuevo troyano de acceso remoto (RAT) llamado StilachiRAT, que emplea técnicas avanzadas para evadir la detección y persistir dentro de entornos con el objetivo final de robar datos como credenciales almacenadas en el navegador, información de billeteras de criptomonedas, datos almacenados en el portapapeles, así como información del sistema.
Microsoft advierte sobre StilachiRAT
El gigante tecnológico afirmó haber descubierto StilachiRAT en noviembre de 2024, con sus funciones de RAT presentes en un módulo DLL llamado «WWStartupCtrl64.dll». El malware aún no ha sido atribuido a ningún actor de amenazas ni país específico.
Actualmente no está claro cómo se distribuye el malware a los objetivos, pero Microsoft señaló que dichos troyanos pueden instalarse a través de varias rutas de acceso iniciales, lo que hace crucial que las organizaciones implementen medidas de seguridad adecuadas.
El malware está diseñado para recopilar información extensa del sistema, incluidos detalles del sistema operativo (SO), identificadores de hardware como números de serie del BIOS, presencia de cámara, sesiones activas de Protocolo de Escritorio Remoto (RDP) y aplicaciones de interfaz gráfica de usuario (GUI) en ejecución.
Estos detalles se recopilan a través de las interfaces de gestión empresarial basada en Web (WBEM) del modelo de objetos componentes (COM) utilizando el lenguaje de consulta WMI (WQL).
StilachiRAT y cómo roba las billeteras de criptomonedas
StilachiRAT se centra en una lista de extensiones específicas de billeteras de criptomonedas para el navegador Google Chrome. Accede a la configuración de la siguiente clave de registro y verifica si alguna de las extensiones está instalada:
Este listado incluye a Bitget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet para Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal y Plug.
Además, StilachiRAT extrae las credenciales almacenadas en Chrome, recopila periódicamente contenido del portapapeles, como contraseñas y billeteras de criptomonedas, monitorea las sesiones RDP capturando información de la ventana en primer plano y estableciendo contacto con un servidor remoto para exfiltrar los datos recolectados. Microsoft advierte sobre StilachiRAT
Las comunicaciones del servidor de comando y control (C2) son bidireccionales, lo que permite al malware ejecutar las instrucciones que envía. Estas características lo convierten en una herramienta versátil tanto para el espionaje como para la manipulación del sistema. Admite hasta 10 comandos diferentes.
- 07 – Mostrar un cuadro de diálogo con contenido HTML renderizado desde una URL proporcionada
- 08 – Borrar entradas del registro de eventos
- 09 – Habilitar el apagado del sistema mediante una API de Windows no documentada («ntdll.dll!NtShutdownSystem»)
- 13 – Recibir una dirección de red del servidor C2 y establecer una nueva conexión saliente
- 14 – Aceptar una conexión de red entrante en el puerto TCP proporcionado
- 15 – Terminar conexiones de red abiertas
- 16 – Iniciar una aplicación específica
- 19 – Enumera todas las ventanas abiertas del escritorio actual para buscar el texto de la barra de título solicitado
- 26 – Poner el sistema en estado suspendido (suspensión) o hibernación
- 30 – Robar contraseñas de Google Chrome
«StilachiRAT muestra un comportamiento antiforense borrando los registros de eventos y comprobando ciertas condiciones del sistema para evitar ser detectado», declaró Microsoft.
Esto incluye comprobaciones repetidas de herramientas de análisis y temporizadores de espacio aislado que impiden su activación completa en entornos virtuales comúnmente utilizados para el análisis de malware.
No dejes de leer: ¿Cuáles son los principales riesgos que afrontan las fintech?
