Microsoft ha descubierto un nuevo troyano de acceso remoto (RAT) que utiliza “técnicas sofisticadas” para evitar la detección, mantener la persistencia y extraer datos sensibles.
Aunque el malware, denominado StilachiRAT, aún no ha alcanzado una distribución masiva, Microsoft decidió compartir públicamente los indicadores de compromiso y la orientación de mitigación para ayudar a los defensores de redes a detectar esta amenaza y reducir su impacto.
Características del Malware ️♂️
En noviembre de 2024, los investigadores de Microsoft Incident Response descubrieron el troyano StilachiRAT que emplea varias técnicas para robar información, como credenciales almacenadas en el navegador e información de carteras digitales, datos del portapapeles y más.
Entre sus capacidades de reconocimiento, el malware puede recopilar información del sistema como identificadores de hardware, presencia de cámaras, sesiones activas de RDP (Remote Desktop Protocol) y aplicaciones basadas en GUI que se están ejecutando en el sistema comprometido.
Una de las características más preocupantes es que StilachiRAT puede robar datos de carteras digitales escaneando la configuración de 20 extensiones de carteras de criptomonedas.
Entre las que se incluyen: Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet y Bitget Wallet, entre otras.
Mantenimiento de Persistencia
Una vez desplegado, StilachiRAT puede obtener persistencia mediante el Windows Service Control Manager (SCM), asegurándose de que se reinstale automáticamente utilizando hilos watchdog que monitorean los binarios del malware y los recrean si ya no están activos.
Funciones de Evasión de Detección y Anti-forenses ️
StilachiRAT también incluye características avanzadas para evadir la detección y prevenir análisis forenses, como la capacidad de borrar los registros de eventos y verificar si está corriendo en un sandbox para bloquear los intentos de análisis.
Además, sus llamadas a la API de Windows están codificadas como “checksums” que se resuelven dinámicamente en tiempo de ejecución, lo que complica aún más el análisis.
Capacidades de Ejecución de Comandos y Proxy SOCKS ️
El malware también permite la ejecución de comandos y el posible uso de proxy tipo SOCKS, permitiendo que los actores de amenazas reinicien sistemas comprometidos, borran registros, roban credenciales, ejecuten aplicaciones y manipulen ventanas del sistema.
Los comandos también están diseñados para modificar valores del registro de Windows y enumerar ventanas abiertas. ️
Recomendaciones para Mitigar el Riesgo
Para reducir el riesgo de ser comprometido por este malware, Microsoft recomienda:
- Descargar software solo desde sitios web oficiales.
- Usar software de seguridad que pueda bloquear dominios maliciosos y adjuntos de correo electrónico.
StilachiRAT es una amenaza sofisticada que pone en riesgo la seguridad de las carteras digitales y otros datos sensibles. Mantén tus sistemas actualizados y protegido contra esta y otras amenazas.