Ny malware angriber kryptovaluta-brugere, stjæler wallet-legitimationsoplysninger og finansielle data ved at omgå Chromes kryptering og overvåge udklipsholderaktivitet for at opfange og omdirigere transaktioner.
Ny malware tømmer kryptopunge gennem Google Chrome
Denne artikel blev publiceret for mere end et år siden. Nogle oplysninger er muligvis ikke aktuelle.
SKREVET AF
DEL
Ny Malware Retter Sig Mod Krypto-brugere og Stjæler Wallet-legitimationsoplysninger og Finansielle Data
En nyopdaget fjernadgangs-trojan (RAT) kendt som StilachiRAT retter sig specifikt mod kryptovaluta-brugere ved at stjæle digitale wallet-legitimationsoplysninger og eksfiltrere følsomme data. Microsoft Incident Response-forskere detaljerede malware’s kapabiliteter i en rapport udgivet den 17. marts 2025 og fremhævede dens fokus på at kompromittere Google Chrome-brugere, der gemmer kryptovaluta wallet-udvidelser og gemte loginoplysninger.
Ifølge Microsoft:
StilachiRAT retter sig mod en liste af specifikke kryptovaluta wallet-udvidelser til Google Chrome-browseren.
Malwaren scanner efter 20 forskellige wallet-udvidelser, herunder Bitget Wallet (tidligere Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal og Plug, hvilket giver angribere mulighed for at udtrække information om digitale aktiver.
Udover at angribe kryptovaluta wallets, stjæler StilachiRAT også gemte loginoplysninger fra Google Chrome ved at omgå dens krypteringsmekanismer. Rapporten forklarer: “StilachiRAT udtrækker Google Chromes encryption_key fra den lokale tilstandsfil i en brugers bibliotek. Da nøglen er krypteret, når Chrome først installeres, bruger den dog Windows API’er, som er afhængige af den nuværende brugers kontekst for at dekryptere masternøglen. Dette muliggør adgang til de gemte legitimationsoplysninger i password-hvelvet.”
Dette gør det muligt for angribere at hente brugernavne og adgangskoder forbundet med finansielle konti, hvilket yderligere øger risikoen for ofrenes digitale aktiver. Desuden etablerer StilachiRAT en kommando-og-kontrol (C2) forbindelse, der tillader fjernoperatører at udføre kommandoer, manipulere systemprocesser og forblive vedvarende, selv efter første detektion.
Malwaren overvåger også kontinuerligt udklipsholderdata for at udtrække kryptovalutanøgler og følsom finansiel information. Microsofts rapport bemærker:
Udklipsholderovervågning er kontinuerlig med målrettede søgninger efter følsom information såsom adgangskoder, kryptovalutanøgler og potentielt personlige identifikatorer.
Ved at scanne efter specifikke mønstre knyttet til kryptovaluta-adresser, kan StilachiRAT opfange og erstatte kopierede wallet-adresser og omdirigere transaktioner til en angriber-kontrolleret destination. For at mindske risikoen råder Microsoft brugere til at implementere sikkerhedsforanstaltninger såsom at aktivere Microsoft Defender-beskyttelser, bruge sikre browsere og undgå uverificerede downloads. Som truslerne udvikler sig, opfordrer cybersikkerhedseksperter kryptoejere til at være årvågne mod ny malware designet til at udnytte digitale aktiver.
