Nuovo malware sta svuotando portafogli crypto tramite Google Chrome

Nuovo Malware Punta agli Utenti Crypto, Rubando Credenziali dei Wallet e Dati Finanziari

Un trojan di accesso remoto (RAT) appena scoperto, noto come StilachiRAT, sta prendendo di mira specificamente gli utenti di criptovalute rubando le credenziali dei wallet digitali ed esfiltrando dati sensibili. I ricercatori del Microsoft Incident Response hanno dettagliato le capacità del malware in un rapporto pubblicato il 17 marzo 2025, evidenziando il suo focus sul compromettere gli utenti di Google Chrome che memorizzano estensioni di wallet per criptovalute e credenziali di accesso salvate.

Secondo Microsoft:

StilachiRAT prende di mira una lista di specifiche estensioni di wallet per criptovalute per il browser Google Chrome.

Il malware scansiona 20 diverse estensioni di wallet, tra cui Bitget Wallet (precedentemente Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet per Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal e Plug, permettendo agli aggressori di estrarre informazioni sugli asset digitali.

Oltre a prendere di mira i wallet di criptovalute, StilachiRAT ruba anche le credenziali di accesso salvate da Google Chrome bypassando i suoi meccanismi di crittografia. Il rapporto spiega: “StilachiRAT estrae l’encryption_key di Google Chrome dal file di stato locale nella directory dell’utente. Tuttavia, poiché la chiave è crittografata quando Chrome è installato per la prima volta, usa le API di Windows che si basano sul contesto dell’utente corrente per decrittare la chiave maestra. Questo permette l’accesso alle credenziali salvate nel vault password.”

Questo consente agli aggressori di recuperare nomi utente e password associati a conti finanziari, aumentando ulteriormente il rischio per gli asset digitali delle vittime. Inoltre, StilachiRAT stabilisce una connessione di comando e controllo (C2), permettendo agli operatori remoti di eseguire comandi, manipolare processi di sistema e rimanere persistenti anche dopo la rilevazione iniziale.

Il malware monitora continuamente i dati degli appunti per estrarre chiavi di criptovalute e informazioni finanziarie sensibili. Il rapporto di Microsoft rileva:

Il monitoraggio degli appunti è continuo, con ricerche mirate a informazioni sensibili come password, chiavi di criptovalute e potenzialmente identificatori personali.

Scansionando specifici pattern collegati ad indirizzi di criptovalute, StilachiRAT può intercettare e sostituire gli indirizzi dei wallet copiati, reindirizzando le transazioni a una destinazione controllata dall’attaccante. Per mitigare il rischio, Microsoft consiglia agli utenti di implementare misure di sicurezza come abilitare le protezioni Microsoft Defender, utilizzare browser sicuri ed evitare download non verificati. Mentre il panorama delle minacce evolve, gli esperti di cybersecurity esortano i possessori di criptovalute a rimanere vigili contro il malware emergente progettato per sfruttare gli asset digitali.