Esta semana, la empresa Microsoft, a través del su Blog Threat intelligence, advirtió de un nuevo y complejo malware que utiliza técnicas sofisticadas para evadir la detección, persistir en el entorno objetivo y filtrar datos confidenciales, que además mediante diversos métodos es capaz de robar información del sistema objetivo, como información de las billeteras digitales instaladas en Google Chrome.
A diferencia de la mayoría del malware normal, los conocidos criptomalware, no buscan robar datos. Más bien, utiliza el dispositivo de la víctima para minar criptomonedas de forma continua y discreta durante el mayor tiempo posible y si es posible acceder a una Wallet o dos, para vaciar los fondos.
De hecho, el criptomalware normal funciona como una amenaza silenciosa, que suele camuflarse como software legítimo que ha descargado la víctima. Una vez descargada esta herramienta de malware, agrega su código malicioso en diversas aplicaciones y programas, ejecutándose en segundo plano, para extraer criptomonedas cada vez que la víctima usa su dispositivo.
Pero, el hallazgo realizado por investigadores de Microsoft Incident Response es totalmente diferente y más bien parece una navaja Suiza convertida en malware para robar Wallets de criptomonedas.
StilachiRAT es un troyano de acceso remoto (RAT, «por sus siglas en inglés»), que está diseñado con capacidades de robo y sigilo, que puede también comprometer otras credenciales almacenadas en el navegador, datos almacenados en el portapapeles e información clave del sistema.
Estas han sido las conclusiones del análisis del módulo WWStartupCtrl64.dll de StilachiRAT, que contiene las capacidades del RAT. Aunque por ahora, Microsoft no ha atribuido la creación de StilachiRAT a un actor de amenazas específico ni a su geolocalización, algunos apuntan a la Amenaza Persistente Avanzada (APT), Lazarus Group, también conocido como APT38, vinculado a Corea del Norte, sin embargo, esto no se ha probado.
Microsoft, señala que “el malware no presenta una distribución generalizada por el momento”. Asimismo, el equipo de investigadores de Microsoft Incident Response, afirma que “el malware como StilachiRAT puede instalarse a través de múltiples vectores; por lo tanto, es fundamental implementar medidas de refuerzo de seguridad para prevenir la vulneración inicial”.
StilachiRAT, se centra en una lista de extensiones específicas de monederos de criptomonedas para el navegador Google Chrome para saber si unas 21 extensiones de Chrome que funcionan como billeteras de criptomonedas están presentes: Bitget Wallet (Anteriormente BitKeep), Trust Wallet, TronLink y MetaMask (que usa tokens ERC-20).
Del mismo modo, busca los Wallets de TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal y Plug.
Luego, “StilachiRAT extrae la clave de cifrado de Google Chrome del archivo de estado local en el directorio del usuario. Sin embargo, dado que la clave se cifra al instalar Chrome por primera vez, utiliza las API de Windows que se basan en el contexto del usuario actual para descifrar la clave maestra. Esto permite acceder a las credenciales almacenadas en el almacén de contraseñas”.
Por ello, con este troyano de acceso remoto que los investigadores de Microsoft han venido investigando desde noviembre de 2024, se demuestra cómo los actores de amenazas están agrupando cada vez más, una mayor capacidad maliciosa en una sola herramienta de descarga para de esa forma maximizar el impacto de la infección del malware.
Entre sus capacidades más agresivas, se encuentran los mecanismos de persistencia del StilachiRAT, “que le permiten ejecutarse como servicio de Windows o como componente independiente”, con la finalidad de “garantizar que el malware no se elimine”.
Del mismo modo, posee este sofisticado malware troyano crea “un subproceso de vigilancia supervisa los archivos EXE y de biblioteca de vínculos dinámicos (DLL) utilizados por el malware, comprobándolos periódicamente”.
“Si no se encuentran, se pueden recrear a partir de una copia interna obtenida durante la inicialización. Finalmente, se puede recrear el componente de servicio de Windows modificando la configuración del registro correspondiente y reiniciándolo mediante el SCM«, haciendo que StilachiRAT sea casi imposible eliminarlo.
Debido a que este malware se encarga de realizar una “conexión con un servidor remoto permite la ejecución de comandos en remoto”. Esta característica le permite al atacante, “ejecutar el robo de información y extraerla del equipo”, así como también “eliminar los registros que delatan su presencia, y para realizar un movimiento lateral por el sistema”.
En concreto el malware RAT, se conecta a dos direcciones en Internet para enviar la información capturada a los atacantes “aplicación.95560[.]cc” y “194.195.89[.]47”, empleando “un canal de comunicación que se establece mediante los puertos TCP 53, 443 o 16000, seleccionados aleatoriamente”.
No obstante, antes de que el malware establezca comunicación, primero “comprueba la presencia de tcpview.exe y, si lo hay, no procede”. Aunque también tiene la capacidad de retrasar “la conexión inicial dos horas, presumiblemente para evitar ser detectado”.
Pero, “una vez conectado, se envía una lista de ventanas activas al servidor. En la sección siguiente se detallan hallazgos técnicos adicionales sobre la funcionalidad de las comunicaciones C2”. Y es que StilachiRAT además de robar accesos a wallets de criptomonedas y por ende sus fondos, está diseñado para recopilar una gran cantidad de información del sistema.
Esto incluye, varios detalles clave del sistema operativo, identificadores de hardware como números de serie del BIOS, presencia de una cámara Web, sesiones activas de Protocolo de Escritorio Remoto (RDP) y aplicaciones de interfaz gráfica de usuario (GUI) en ejecución.
Entre las recomendaciones de Microsoft para mitigar el riesgo al malware StilachiRAT, se sugiere que los usuarios utilicen otros navegadores diferentes a Google Chrome que sean compatibles con SmartScreen, para identificar y bloquear sitios web maliciosos, incluidos sitios de phishing, sitios fraudulentos y sitios que alojan malware.
Dado que el malware de StilachiRAT “puede instalarse mediante diversos vectores”, haciéndose pasar “por software o actualizaciones legítimas”, los usuarios deben descargar “siempre el software del sitio web oficial del desarrollador o de fuentes confiables”.