Nuevo malware está drenando billeteras de criptomonedas a través de Google Chrome

Nuevo Malware Ataca a Usuarios de Cripto, Robando Credenciales de Billetera y Datos Financieros

Un troyano de acceso remoto (RAT) recién descubierto, conocido como StilachiRAT, está específicamente dirigido a usuarios de criptomonedas, robando credenciales de billeteras digitales y exfiltrando datos sensibles. Los investigadores de Respuesta a Incidentes de Microsoft detallaron las capacidades del malware en un informe publicado el 17 de marzo de 2025, destacando su enfoque en comprometer a los usuarios de Google Chrome que almacenan extensiones de billeteras de criptomonedas y credenciales de inicio de sesión guardadas.

Según Microsoft:

StilachiRAT apunta a una lista de extensiones específicas de billeteras de criptomonedas para el navegador Google Chrome.

El malware escanea 20 diferentes extensiones de billeteras, incluyendo Bitget Wallet (anteriormente Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal, y Plug, permitiendo a los atacantes extraer información de activos digitales.

Más allá de apuntar a las billeteras de criptomonedas, StilachiRAT también roba credenciales de inicio de sesión almacenadas en Google Chrome al eludir sus mecanismos de cifrado. El informe explica: “StilachiRAT extrae la encryption_key de Google Chrome del archivo de estado local en el directorio del usuario. Sin embargo, dado que la clave está cifrada cuando Chrome se instala por primera vez, utiliza APIs de Windows que dependen del contexto del usuario actual para descifrar la clave maestra. Esto permite el acceso a las credenciales almacenadas en la bóveda de contraseñas.”

Esto permite a los atacantes recuperar nombres de usuario y contraseñas asociados con cuentas financieras, aumentando aún más el riesgo para los activos digitales de las víctimas. Además, StilachiRAT establece una conexión de comando y control (C2), lo que permite a los operadores remotos ejecutar comandos, manipular procesos del sistema y permanecer persistentes incluso después de la detección inicial.

El malware también monitorea continuamente los datos del portapapeles para extraer claves de criptomonedas e información financiera sensible. El informe de Microsoft señala:

El monitoreo del portapapeles es continuo, con búsquedas específicas de información sensible como contraseñas, claves de criptomonedas y potencialmente identificadores personales.

Al escanear patrones específicos vinculados a direcciones de criptomonedas, StilachiRAT puede interceptar y reemplazar direcciones de billeteras copiadas, redirigiendo transacciones a un destino controlado por el atacante. Para mitigar el riesgo, Microsoft aconseja a los usuarios implementar medidas de seguridad como habilitar las protecciones de Microsoft Defender, usar navegadores seguros y evitar descargas no verificadas. A medida que el panorama de amenazas evoluciona, los expertos en ciberseguridad instan a los poseedores de criptomonedas a mantenerse vigilantes contra el malware emergente diseñado para explotar activos digitales.