Nieuwe Malware Leegt Cryptowallets via Google Chrome

Nieuwe Malware Richt zich op Crypto-gebruikers, Steelt Wallet-gegevens en Financiële Gegevens

Een nieuw ontdekte trojan voor externe toegang (RAT) genaamd StilachiRAT richt zich specifiek op cryptocurrency-gebruikers door digitale wallet-gegevens te stelen en gevoelige data te exfiltreren. Onderzoekers van Microsoft Incident Response beschreven de mogelijkheden van de malware in een rapport gepubliceerd op 17 maart 2025, waarin de focus wordt benadrukt op het compromitteren van gebruikers van Google Chrome die cryptocurrency wallet-extensies en opgeslagen inloggegevens bewaren.

Volgens Microsoft:

StilachiRAT richt zich op een lijst van specifieke cryptocurrency wallet-extensies voor de Google Chrome-browser.

De malware scant 20 verschillende wallet-extensies, waaronder Bitget Wallet (voorheen Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet voor Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal en Plug, waardoor aanvallers digitale asset-informatie kunnen extraheren.

Naast het richten op cryptocurrency-wallets, steelt StilachiRAT ook opgeslagen inloggegevens van Google Chrome door de versleuteling ervan te omzeilen. Het rapport legt uit: “StilachiRAT extraheert Google Chrome’s encryption_key uit het lokale statusbestand in de gebruikersdirectory. Aangezien de sleutel is versleuteld wanneer Chrome voor het eerst wordt geïnstalleerd, gebruikt het Windows-API’s die afhankelijk zijn van de context van de huidige gebruiker om de hoofdsleutel te ontsleutelen. Dit biedt toegang tot de opgeslagen inloggegevens in de password vault.”

Dit stelt aanvallers in staat om gebruikersnamen en wachtwoorden op te halen die aan financiële accounts zijn gekoppeld, waardoor het risico voor de digitale activa van de slachtoffers verder toeneemt. Bovendien legt StilachiRAT een commando-en-controle (C2)-verbinding vast, waardoor externe operators opdrachten kunnen uitvoeren, systeemprocessen kunnen manipuleren en aanwezig kunnen blijven, zelfs na de eerste detectie.

De malware monitort ook voortdurend klemborden om cryptocurrency-sleutels en gevoelige financiële informatie te extraheren. Het rapport van Microsoft merkt op:

Klembordmonitoring is continu, met gerichte zoekopdrachten naar gevoelige informatie zoals wachtwoorden, cryptocurrency-sleutels en mogelijk persoonlijke identificatiegegevens.

Door te scannen op specifieke patronen die verband houden met cryptocurrency-adressen, kan StilachiRAT gekopieerde wallet-adressen onderscheppen en vervangen, waardoor transacties worden omgeleid naar een door de aanvaller gecontroleerde bestemming. Om het risico te verminderen, adviseert Microsoft gebruikers om beveiligingsmaatregelen te implementeren, zoals het inschakelen van Microsoft Defender-bescherming, het gebruik van veilige browsers en het vermijden van niet-geverifieerde downloads. Terwijl het dreigingslandschap evolueert, waarschuwen cybersecurity-experts crypto-bezitters om waakzaam te blijven tegen opkomende malware die is ontworpen om digitale activa te exploiteren.