StilachiRAT: Новый вирус, ворующий криптокошельки в Chrome!

В ноябре 2024-го спецы Microsoft Incident Response нарыли свежее вредоносное ПО – StilachiRAT. Это не просто очередной троян, а многофункциональная прога, заточенная под слив инфы и обход защиты.

Этот вирус умеет хитро шифроваться, чтобы его не запалили антивирусы, и при этом стаскивает пароли, а также учетные данные из Chrome. Он не просто копает логи – он роет под самую операционку, цепляя данные BIOS, активные сессии RDP и даже инфу о камерах.

Но главное – он охотится за криптой. StilachiRAT сканирует Chrome в поисках кошельков – от Coinbase до Bitget, мониторит буфер обмена, чтобы вытащить приватники, и даже чекает запущенные проги на наличие паролей.

Microsoft пока не знает, кто стоит за этим ПО, но одно ясно: хотя StilachiRAT ещё не разлетелся по сети, его продвинутая механика делает его настоящей угрозой. Как юзеров заманивают в ловушку StilachiRAT?

Хакеры – это не просто кодеры, а мастера разводов. Они юзают целый набор схем, чтобы затащить юзеров в свои сети:

Фишинговые письма: Классика жанра – жертва получает письмецо с инфой, мол, срочно зайди, проверь, скачай. В ноябре 2024-го мошенники закидывали такие штуки на хелпдеск-сервисы, распространяя AsyncRat, PureLog Stealer и XWorm.

Фейковые расширения: Казалось бы, скачиваешь полезное ПО, а на деле – подсовываешь в систему StilachiRAT.

Заразные загрузки: Скачал файл не с того сайта – получи троян в подарок.

Эксплойт-киты: Эти штуки автоматически юзают уязвимости системы, чтобы закинуть мошенничесое ПО без ведома юзера.

Взлом RDP: Подбор пароля к удалённому рабочему столу – классика хакерского жанра.

USB-дропперы: Воткнул чужую флешку? Возможно, ты только что запустил StilachiRAT.

Drive-by загрузки: Зашел на заражённый сайт – троян уже у тебя.

Фальшивые приложения и соцсети: Приложение выглядит легитимно, но на деле это StilachiRAT в маске.

Как StilachiRAT вычищает криптокошельки?

Это ПО – не просто вирус, а продуманная махинация, которая пошагово пробирается к вашим активам. Находит кошельки в Chrome

StilachiRAT сначала проверяет, какие кошельки установлены. Он лазает по системным реестрам и ищет данные в ветке:

SOFTWAREGoogleChromePreferenceMACsDefaultextensions.settings

Добывает пароли

Троян сливает шифрованный ключ Chrome из локального хранилища, а потом через Windows API дешифрует его и открывает доступ к сохранённым паролям. Весь процесс происходит на базе двух файлов:

%LOCALAPPDATA%GoogleChromeUser DataLocal State (здесь лежит сам ключ)
%LOCALAPPDATA%GoogleChromeUser DataDefaultLogin Data (а тут – логины и пароли) Подключается к командному серверу

Вирус связывается с киберконтроллером, который отдаёт команды: запустить приложение, перезагрузить систему, стянуть данные или зачистить логи.

StilachiRAT использует хитрый трюк – один адрес сервера зашифрован, а другой зашит в бинарнике. Для связи он открывает каналы через TCP-порты 53, 443 и 16000.

Кроме того, он умеет распознавать, если его детектят через tcpview.exe – и сразу же останавливается. Чтобы запутать следы, он даже откладывает первое подключение на пару часов. Слежка за RDP-сессиями

Этот вирус отслеживает все удалённые подключения. Он может залезть в активное окно, выцепить RDP-сессию и даже скопировать права пользователя. Мониторинг клипборда и слежка за юзером

StilachiRAT сидит в системе, как паразит, и постоянно мониторит, что юзер копирует в буфер обмена. Он фильтрует текст, чтобы вытащить пароли, приватные ключи или другие важные данные. Как StilachiRAT прячется и ускользает от антивирусов?

Этот троян – не рядовое ПО, а хитрый вирус с продвинутыми маскировочными фишками.

Шифрование строк. Все ключевые команды и адреса сервера зашифрованы в коде. Это не просто примитивный Base64 – вирус использует кастомные алгоритмы, которые трудно расковырять даже специалистам.

Детектирование песочницы. Перед тем как начать активные действия, StilachiRAT сначала проверяет, не запущен ли он в тестовой среде (sandbox). Если замечает что-то подозрительное – сразу тормозит выполнение, чтобы не выдать себя.

Самоудаление. Если троян чувствует, что его обнаружили, он может удалиться, затерев все файлы и логи, чтобы не оставить следов.

Антидетект RDP-сессий. StilachiRAT отслеживает, когда админ заходит через удалённый рабочий стол, и подстраивается, чтобы не выдать себя.

Антивирусный обход. Этот вирус может отключать защиту системы, редактируя реестр и выключая процессы антивирусов. Он даже умеет отключать Windows Defender и встроенные механизмы безопасности.

Как защититься от StilachiRAT?

Несмотря на то, что это ПО довольно опасное и продуманное, есть несколько советов, которые помогут рядовому пользователю избежать заражения своего ПК:

Следи, что ты скачиваешь. Не качай файлы с мутных сайтов. Проверяй ссылки, особенно если они пришли по почте.

Включи двухфакторку. Даже если вирус украдёт твой пароль – ему всё равно понадобится второй фактор (например, SMS или код из Google Authenticator).

Шифруй и храни пароли правильно. Не пихай важные данные в обычные текстовые файлы или заметки. Используй менеджеры паролей и держи криптокошельки в холодном хранилище.

Проверь расширения Chrome. Если ты видишь подозрительные расширения, которых ты не ставил – сноси их сразу.

Следи за процессами в системе. Запусти диспетчер задач (Ctrl + Shift + Esc) и проверь, нет ли странных процессов. Если что-то грузит процессор без причины – стоит насторожиться.

Обновляй систему и антивирус. StilachiRAT юзает уязвимости, поэтому важно, чтобы у тебя стояли свежие апдейты.

Проверяй буфер обмена. Перед тем как вставлять адрес криптокошелька – проверь, не изменился ли он. Некоторые трояны подменяют адреса на свои, чтобы украсть деньги.

Итог: StilachiRAT – серьёзная угроза

Это ПО – не просто вирус, а продвинутый инструмент кодеров и мошенников. Он умеет воровать данные, следить за пользователем и даже атаковать криптокошельки.

Если не хочешь стать жертвой – будь начеку. Проверяй файлы, следи за процессами, обновляй софт и не ведись на фейковые письма.

Источник: coinspot.io