Ny skadelig programvare tapper kryptolommebøker gjennom Google Chrome

Nytt Malware Retter Seg mot Krypto Brukere, Stjeler Lommebok-Legitimasjoner og Økonomiske Data

En nylig oppdaget fjernstyringstrojaner (RAT) kjent som StilachiRAT retter seg spesielt mot kryptovaluta-brukere ved å stjele digitale lommebok-legitimasjoner og eksfiltrere sensitive data. Microsoft Incident Response-forskere beskrev malwareets evner i en rapport publisert 17. mars 2025, og fremhevet dens fokus på å kompromittere Google Chrome-brukere som lagrer kryptovaluta-lommebokutvidelser og lagrede innloggingsopplysninger.

Ifølge Microsoft:

StilachiRAT retter seg mot en liste over spesifikke kryptovaluta-lommebokutvidelser for nettleseren Google Chrome.

Malwareet skanner etter 20 forskjellige lommebokutvidelser, inkludert Bitget Wallet (tidligere Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal, og Plug, som lar angripere trekke ut digitale eiendelsinformasjon.

Utover å rette seg mot kryptovaluta-lommebøker, stjeler StilachiRAT også lagrede innloggingsopplysninger fra Google Chrome ved å omgå krypteringsmekanismene. Rapporten forklarer: «StilachiRAT ekstraherer Google Chromes encryption_key fra den lokale tilstandsfilen i en brukers katalog. Siden nøkkelen er kryptert når Chrome først installeres, bruker den Windows APIer som er avhengige av den nåværende brukerens kontekst for å dekryptere hovednøkkelen. Dette gir tilgang til de lagrede legitimasjonene i passordhvelvet.»

Dette gjør det mulig for angripere å hente brukernavn og passord knyttet til finansielle kontoer, noe som ytterligere øker risikoen for ofrenes digitale eiendeler. I tillegg etablerer StilachiRAT en kommandokontroll (C2)-forbindelse, som gir fjernoperatører muligheten til å utføre kommandoer, manipulere systemprosesser og forbli vedvarende selv etter initial deteksjon.

Malwareet overvåker også kontinuerlig utklippstavledata for å trekke ut kryptovaluta-nøkler og sensitiv økonomisk informasjon. Microsofts rapport bemerker:

Overvåkning av utklippstavlen er kontinuerlig, med målrettet søk etter sensitiv informasjon som passord, kryptovaluta-nøkler og potensielt personlige identifikatorer.

Ved å skanne etter spesifikke mønstre knyttet til kryptovaluta-adresser, kan StilachiRAT avskjære og erstatte kopierte lommebokadresser, og omdirigere transaksjoner til et angriper-kontrollert mål. For å redusere risikoen, råder Microsoft brukere til å implementere sikkerhetstiltak som å aktivere Microsoft Defender-beskyttelser, bruke sikre nettlesere, og unngå uverifiserte nedlastinger. Etter hvert som trussellandskapet utvikler seg, oppfordrer cybersikkerhetseksperter kryptoinnehavere til å være oppmerksomme på ny malware designet for å utnytte digitale eiendeler.