Een heimelijke rat richt in referenties en crypto -portefeuilles

Cyberbeveiliging
StilachiRAT Targeting Credentials and Crypto Wallets

Microsoft vestigt de aandacht op een nieuwe externe toegang Trojan (rat) genoemd Stilachirat Dat volgens haar geavanceerde technieken gebruikt om detectie te omzeilen en in doelomgevingen te blijven bestaan ​​met een uiteindelijke doel om gevoelige gegevens te stelen.

De malware bevat mogelijkheden om “informatie van het doelsysteem te stelen, zoals inloggegevens die zijn opgeslagen in de browser, informatie over digitale portemonnee, gegevens die in het klembord zijn opgeslagen, evenals systeeminformatie”, zei het Microsoft Incident Response -team in een analyse.

De tech -gigant zei dat het Stilachirat ontdekte in november 2024, met zijn ratfuncties aanwezig in een DLL -module genaamd “WWStartUpCtrl64.dll.” De malware is niet toegeschreven aan een specifieke dreigingsacteur of land.

Het is momenteel niet duidelijk hoe de malware wordt geleverd aan doelen, maar Microsoft merkte op dat dergelijke Trojanen kunnen worden geïnstalleerd via verschillende initiële toegangsroutes, waardoor het voor organisaties cruciaal is om adequate beveiligingsmaatregelen te implementeren.

Stilachirat is ontworpen om uitgebreide systeeminformatie te verzamelen, inclusief details van het besturingssysteem (OS), hardware -identificatiegegevens zoals BIOS -serienummers, aanwezigheid van de camera, Active Remote Desktop Protocol (RDP) sessies en het uitvoeren van grafische gebruikersinterface (GUI) -toepassingen.

Deze details worden verzameld via het webgebaseerde enterprise management (WBEM) interfaces van het Component Object Model (COM) met behulp van WMI Query Language (WQL).

Het is ook ontworpen om een ​​lijst met cryptocurrency -portemonnee -extensies te richten die zijn geïnstalleerd in de Google Chrome -webbrowser. The list encompasses Bitget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal, and Plug.

Bovendien verzamelt Stilachirat -uittreksels in rekening gebracht in de Chrome -browser, verzamelt periodiek klembordinhoud zoals wachtwoorden en cryptocurrency -portefeuilles, bewaakt RDP -sessies door informatie voor de voorgrondvenster vast te leggen en plaatst contact met een externe server om de geoogste gegevens te vergroten.

De command-and-control (C2) servercommunicatie is tweerichtingscommunicatie, waardoor de malware instructies kan starten die erdoor worden verzonden. De functies wijzen op een veelzijdig hulpmiddel voor zowel spionage als systeemmanipulatie. Maar liefst 10 verschillende opdrachten worden ondersteund –

  • 07 – Geef een dialoogvenster weer met weergave HTML -inhoud van een geleverde URL
  • 08 – Logboekvermeldingen wissen
  • 09 – System -afsluiting inschakelen met behulp van een Windows API zonder papieren (“ntdll.dll! NTShutdownSystem”))
  • 13 – Ontvang een netwerkadres van de C2 -server en leg een nieuwe uitgaande verbinding tot stand.
  • 14 – Accepteer een inkomende netwerkverbinding op de geleverde TCP -poort
  • 15 – Beëindig open netwerkverbindingen
  • 16 – Start een opgegeven applicatie
  • 19 – Geef alle open vensters van het huidige bureaublad op om te zoeken naar een gevraagde titelbalkekst
  • 26 – Zet het systeem in een gesuspendeerde (slaap) toestand of winterslaap
  • 30 – steel Google Chrome -wachtwoorden

“Stilachirat vertoont anti-forensisch gedrag door gebeurtenislogboeken te wissen en bepaalde systeemomstandigheden te controleren om detectie te ontwijken,” zei Microsoft. “Dit omvat luscontroles voor analysetools en sandbox -timers die de volledige activering in virtuele omgevingen voorkomen die vaak wordt gebruikt voor malware -analyse.”

De openbaarmaking komt als Palo Alto Networks Unit 42 gedetailleerde drie ongebruikelijke malware-monsters die het vorig jaar heeft gedetecteerd, waarbij een Passive Internet Information Services (IIS) backdoor is ontwikkeld ontwikkeld in C ++/CLI, een bootkit die een onbeveiligde kernel-driver gebruikt om een ​​Grub 2-bootloader te installeren en een Cross-Platform Post-Ploatform Post-PLAMWAWSSEN gebruikt om een ​​Grub 2-bootloader te installeren en een Cross-Platform Post-PloweSs te installeren.

De IIS -achterdeur is uitgerust om bepaalde inkomende HTTP -aanvragen die een vooraf gedefinieerde koptekst bevatten te parseren en de opdrachten erin uit te voeren, waardoor het de mogelijkheid is om opdrachten uit te voeren, systeemmetadata te krijgen, nieuwe processen te maken, PowerShell -code uit te voeren en ShellCode in een loop of nieuw proces te injecteren.

De bootkit daarentegen is een 64-bit DLL die een Grub 2 Bootloader-schijfafbeelding installeert door middel van een legitiem ondertekende kernelstuurprogramma genaamd Ampa.sys. Het wordt beoordeeld als een proof-of-concept (POC) gemaakt door onbekende partijen van de Universiteit van Mississippi.

“Wanneer het opnieuw is opgestart, toont de Grub 2 -bootloader een afbeelding en speelt Periodiek Dixie via de pc -luidspreker. Dit gedrag kan erop wijzen dat de malware een aanvallende grap is,” zei eenheid 42 -onderzoeker Dominik Reichel. “Met name het patchen van een systeem met deze aangepaste Grub 2 -bootloader -afbeelding van de malware werkt alleen op bepaalde schijfconfiguraties.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

MicroBlink lanceert AI cloud-gebaseerde identiteitsverificatieoplossing

Fitbit begint te testen van het nieuwe gepersonaliseerde slaapschema -laboratorium

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]