Новый вредоносный софт «сливает» криптовалютные кошельки через Google Chrome

Новое Вредоносное ПО Нацелено на Пользователей Криптовалюты, Крадет Учетные Данные Кошелька и Финансовую Информацию

Недавно обнаруженный троян для удаленного доступа (RAT) под названием StilachiRAT специально нацелен на пользователей криптовалюты, крадя учетные данные цифровых кошельков и извлекая конфиденциальные данные. Исследователи Microsoft Incident Response подробно описали возможности вредоносного ПО в отчете, опубликованном 17 марта 2025 года, подчеркивая его фокус на компрометации пользователей Google Chrome, которые хранят расширения криптовалютных кошельков и сохраненные учетные данные для входа в систему.

По данным Microsoft:

StilachiRAT нацелен на список конкретных расширений криптовалютных кошельков для браузера Google Chrome.

Вредоносное ПО сканирует 20 различных расширений кошельков, включая Bitget Wallet (ранее Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet для Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal и Plug, позволяя атакующим извлекать информацию о цифровых активах.

Кроме нацеливания на кошельки криптовалют, StilachiRAT также крадет сохраненные логины в Google Chrome, обходя его механизмы шифрования. В отчете объясняется: «StilachiRAT извлекает encryption_key Google Chrome из локального файла состояния в директории пользователя. Однако, так как ключ зашифрован при первой установке Chrome, он использует Windows API, которые зависят от текущего контекста пользователя для расшифровки мастер-ключа. Это позволяет получить доступ к сохраненным учетным данным в хранилище паролей.»

Это позволяет атакующим получать имена пользователей и пароли, связанные с финансовыми счетами, что еще больше увеличивает риск для цифровых активов жертв. Кроме того, StilachiRAT устанавливает соединение командно-управляемого (C2) сервера, позволяя удаленным операторам выполнять команды, манипулировать системными процессами и оставаться постоянными даже после начального обнаружения.

Вредоносное ПО также непрерывно контролирует данные буфера обмена для извлечения ключей криптовалюты и конфиденциальной финансовой информации. В отчете Microsoft отмечается:

Мониторинг буфера обмена является непрерывным, с целевым поиском конфиденциальной информации, такой как пароли, ключи криптовалюты и потенциально личные идентификаторы.

Сканируя конкретные шаблоны, связанные с адресами криптовалют, StilachiRAT может перехватывать и заменять скопированные адреса кошелька, перенаправляя транзакции на адрес, контролируемый злоумышленником. Чтобы снизить риск, Microsoft советует пользователям внедрить меры безопасности, такие как включение защиты Microsoft Defender, использование защищенных браузеров и избегание непроверенных загрузок. По мере того, как угроза развивается, эксперты по кибербезопасности настоятельно призывают держателей криптовалют быть бдительными по отношению к новым вредоносным программам, разработанным для эксплуатации цифровых активов.