Neue Malware greift Kryptowährungsnutzer an, stiehlt Wallet-Zugangsdaten und finanzielle Informationen, indem sie die Verschlüsselung von Chrome umgeht und die Zwischenablage-Aktivität überwacht, um Transaktionen abzufangen und umzuleiten.
Neue Malware leert Krypto-Wallets über Google Chrome
Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Einige Informationen sind möglicherweise nicht mehr aktuell.
GESCHRIEBEN VON
TEILEN
Neue Malware zielt auf Krypto-Nutzer ab und stiehlt Wallet-Zugangsdaten und finanzielle Informationen
Ein neu entdeckter Remote Access Trojaner (RAT) namens StilachiRAT zielt speziell auf Kryptowährungsnutzer ab, indem er digitale Wallet-Zugangsdaten stiehlt und sensible Daten exfiltriert. Forscher des Microsoft Incident Response-Teams detaillierten die Fähigkeiten der Malware in einem Bericht, der am 17. März 2025 veröffentlicht wurde, und hoben ihren Fokus auf die Kompromittierung von Google Chrome-Nutzern hervor, die Kryptowährungs-Wallet-Erweiterungen und gespeicherte Login-Daten speichern.
Laut Microsoft:
StilachiRAT zielt auf eine Liste spezifischer Kryptowährungs-Wallet-Erweiterungen für den Google Chrome-Browser ab.
Die Malware durchsucht 20 verschiedene Wallet-Erweiterungen, darunter Bitget Wallet (ehemals Bitkeep), Trust Wallet, Tronlink, Metamask (Ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet für Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal und Plug, was Angreifern erlaubt, Informationen über digitale Vermögenswerte zu extrahieren.
Neben dem Ziel auf Kryptowährung-Wallets stiehlt StilachiRAT auch gespeicherte Login-Daten von Google Chrome, indem es die Verschlüsselungsmechanismen umgeht. Der Bericht erklärt: „StilachiRAT extrahiert den encryption_key von Google Chrome aus der lokalen Statusdatei im Verzeichnis eines Benutzers. Da der Schlüssel jedoch verschlüsselt ist, wenn Chrome zum ersten Mal installiert wird, verwendet es Windows APIs, die auf dem aktuellen Benutzerkontext beruhen, um den Hauptschlüssel zu entschlüsseln. Dies ermöglicht den Zugriff auf die gespeicherten Anmeldedaten im Passwort-Tresor.“
Dies ermöglicht Angreifern, Benutzernamen und Passwörter im Zusammenhang mit Finanzkonten abzurufen, was das Risiko für die digitalen Vermögenswerte der Opfer weiter erhöht. Zudem etabliert StilachiRAT eine Kommando- und Kontrollverbindung (C2), die Fernsteuerern erlaubt, Befehle auszuführen, Systemprozesse zu manipulieren und auch nach der ersten Erkennung hartnäckig zu bleiben.
Die Malware überwacht auch kontinuierlich die Zwischenablagedaten, um Kryptowährungsschlüssel und sensible Finanzinformationen zu extrahieren. Der Bericht von Microsoft stellt fest:
Die Überwachung der Zwischenablage ist kontinuierlich und zielt auf die Suche nach sensiblen Informationen wie Passwörtern, Kryptowährungsschlüsseln und möglicherweise persönlichen Identifikatoren ab.
Indem sie nach spezifischen Mustern sucht, die mit Kryptowährungsadressen in Verbindung stehen, kann StilachiRAT kopierte Wallet-Adressen abfangen und ersetzen, um Transaktionen zu einer von einem Angreifer kontrollierten Zieladresse umzuleiten. Um das Risiko zu mindern, rät Microsoft Nutzern, Sicherheitsmaßnahmen wie die Aktivierung von Microsoft Defender-Schutz zu implementieren, sichere Browser zu verwenden und unbestätigte Downloads zu vermeiden. Da sich die Bedrohungslage entwickelt, raten Cybersicherheitsexperten Krypto-Besitzern, wachsam gegenüber neu auftretender Malware zu bleiben, die darauf ausgelegt ist, digitale Vermögenswerte auszunutzen.
