Novo Malware Está Esvaziando Carteiras Cripto Através do Google Chrome

Novo Malware Alvo Usuários de Cripto, Roubando Credenciais de Carteira e Dados Financeiros

Um trojan de acesso remoto recém-descoberto (RAT) conhecido como StilachiRAT está especificamente atacando usuários de criptomoedas ao roubar credenciais de carteiras digitais e exfiltrar dados sensíveis. Pesquisadores do Microsoft Incident Response detalharam as capacidades do malware em um relatório publicado em 17 de março de 2025, destacando seu foco em comprometer usuários do Google Chrome que armazenam extensões de carteiras de criptomoedas e credenciais de login salvas.

De acordo com a Microsoft:

StilachiRAT mira uma lista de extensões específicas de carteiras de criptomoedas para o navegador Google Chrome.

O malware escaneia 20 diferentes extensões de carteiras, incluindo Bitget Wallet (anteriormente Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal, e Plug, permitindo que atacantes extraíam informações de ativos digitais.

Além de visar carteiras de criptomoedas, o StilachiRAT também rouba credenciais de login armazenadas no Google Chrome, contornando seus mecanismos de criptografia. O relatório explica: “StilachiRAT extrai a encryption_key do Google Chrome a partir do arquivo de estado local no diretório de um usuário. No entanto, uma vez que a chave é criptografada quando o Chrome é instalado pela primeira vez, ele usa APIs do Windows que dependem do contexto do usuário atual para descriptografar a chave mestre. Isso permite acesso às credenciais armazenadas no cofre de senhas.”

Isso permite que atacantes recuperem nomes de usuário e senhas associadas a contas financeiras, aumentando ainda mais o risco para os ativos digitais das vítimas. Além disso, o StilachiRAT estabelece uma conexão de comando e controle (C2), permitindo que operadores remotos executem comandos, manipulem processos do sistema e se mantenham persistentes mesmo após a detecção inicial.

O malware também monitora continuamente os dados do clipboard para extrair chaves de criptomoedas e informações financeiras sensíveis. O relatório da Microsoft aponta:

O monitoramento do clipboard é contínuo, com pesquisas direcionadas para informações sensíveis, como senhas, chaves de criptomoedas e, potencialmente, identificadores pessoais.

Ao escanear padrões específicos vinculados a endereços de criptomoedas, o StilachiRAT pode interceptar e substituir endereços de carteiras copiados, redirecionando transações para um destino controlado por atacantes. Para mitigar o risco, a Microsoft aconselha os usuários a implementarem medidas de segurança, como habilitar proteções do Microsoft Defender, usar navegadores seguros e evitar downloads não verificados. À medida que o cenário de ameaças evolui, especialistas em cibersegurança pedem aos detentores de cripto que continuem vigilantes contra malwares emergentes projetados para explorar ativos digitais.