A Microsoft revelou ter descoberto um novo trojan de acesso remoto (RAT) altamente sofisticado. O malware, chamado de do StilachiRAT, emprega técnicas avançadas para evitar detecção, manter persistência e roubar informações sensíveis, incluindo credenciais armazenadas no navegador e dados de carteiras de criptomoedas. Apesar de sua distribuição ainda limitada, a Microsoft divulgou indicadores de comprometimento e recomendações para mitigar o impacto da ameaça.
Leia também
Colaboração reduz em 10X risco em transações
Hackers injetam ladrões de cartão em módulos de pagamentos
Entre suas capacidades, o StilachiRAT pode coletar dados do sistema, detectar sessões RDP ativas, monitorar área de transferência e acessar informações de 20 extensões de carteiras de criptomoedas, como Coinbase Wallet, Phantom, Trust Wallet e Metamask. Ele também se mantém ativo no sistema usando o gerenciador de controle de serviços do Windows (SCM) e recria seus binários caso sejam removidos. Além disso, pode clonar tokens de segurança para escalar privilégios e mover-se lateralmente dentro das redes comprometidas.
O malware conta com evasão avançada de detecção, incluindo técnicas anti-forenses para limpar logs de eventos e evitar análises em sandboxes. Ele também permite execução remota de comandos por meio de um servidor de comando e controle (C2), possibilitando desde o roubo de credenciais até a manipulação do sistema infectado. Para evitar infecções, a Microsoft recomenda baixar software apenas de fontes confiáveis e utilizar ferramentas de segurança que bloqueiem domínios maliciosos e anexos suspeitos.
