Microsoft avisa de la detección de un troyano de acceso remoto denominado StilachiRAT, cuyo diseño permite evadir la detección y sustraer información sensible, prestando especial atención a los datos relacionados con activos digitales.
Este malware analiza meticulosamente el entorno del navegador Google Chrome para constatar la existencia de configuraciones de extensiones dedicadas a la gestión de criptomonedas. En este sentido, examina la presencia de 20 aplicaciones específicas, posibilitando a los operadores obtener datos que faciliten el acceso no autorizado a fondos digitales. Las billeteras son:
Bitget Wallet, Trust Wallet, TronLink, MetaMask (ethereum), TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal yPlug.
Además de la revisión de extensiones orientadas a criptomonedas, StilachiRAT utiliza métodos para robar información de autenticación almacenada en el navegador.
El troyano también vigila continuamente el contenido del portapapeles, en la que identifica textos susceptibles de contener contraseñas, códigos de encriptación o información que permita el acceso a monederos digitales.
Sumado a ello, recopila datos detallados del sistema, como el sistema operativo, identificadores de hardware, presencia de dispositivos de captura y sesiones activas de Escritorio Remoto, lo que favorece la confección de un perfil minucioso del equipo.
La persistencia de StilachiRAT se garantiza mediante su ejecución tanto como servicio de Windows como de forma independiente. Un subproceso de vigilancia monitoriza de manera constante sus archivos ejecutables y bibliotecas, permitiendo que, ante cualquier intento de eliminación, estos sean restaurados a partir de copias internas. Aunado a esto, el malware ofusca sus llamadas a la API de Windows mediante el uso de sumas de comprobación y máscaras XOR, lo que dificulta en gran medida la labor de análisis manual.
Relacionado: El mes pasado se detectó otro troyano para robar contraseñas mediante el escaneo de imágenes guardadas en los móviles.
Medidas de prevención para evitar la infiltración de este malware
Se aconseja a los usuarios descargar software únicamente de fuentes oficiales o de confianza, emplear navegadores como Microsoft Edge que incorporan SmartScreen para bloquear sitios maliciosos, y activar funciones de análisis y reescritura de enlaces en Office 365.
De igual modo, la protección de red en Microsoft Defender para Endpoint, junto con políticas de endurecimiento que incluyan la activación de protección en tiempo real, bloqueo de aplicaciones no deseadas y configuraciones automatizadas para la remediación de incidentes, contribuyen a reducir la superficie de ataque.
Herramientas como Microsoft Defender XDR y Microsoft Sentinel permiten, además, identificar actividad sospechosa en conexiones de red, vigilar registros de eventos y asociar indicadores como dominios, direcciones IP y huellas digitales de archivos maliciosos, facilitando así la detección oportuna de intentos de borrar evidencia del sistema.