Nova zlonamerna programska oprema prazni kripto denarnice prek Google Chroma

Nova zlonamerna programska oprema cilja na uporabnike kriptovalut, krade podatke o denarnici in finančne podatke

Nedavno odkrita trojanska programska oprema za daljinski dostop (RAT), znana kot StilachiRAT, posebej cilja na uporabnike kriptovalut s krajo poverilnic digitalnih denarnic in izvažanjem občutljivih podatkov. Raziskovalci Microsoft Incident Response so podrobno opisali zmogljivosti zlonamerne programske opreme v poročilu, objavljenem 17. marca 2025, izpostavili njen fokus na ogrožanju uporabnikov Google Chrome, ki shranjujejo razširitve kripto denarnic in shranjena prijavna gesla.

Po navedbah Microsofta:

StilachiRAT cilja na seznam specifičnih razširitev kripto denarnic za brskalnik Google Chrome.

Zlonamerna programska oprema pregleda 20 različnih razširitev denarnic, vključno z Bitget Wallet (prej Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet za Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal in Plug, kar napadalcem omogoča pridobivanje informacij o digitalnih sredstvih.

Poleg ciljanja na kripto denarnice StilachiRAT prav tako krade shranjena prijavna gesla iz Google Chrome tako, da zaobide njene šifrivne mehanizme. Poročilo pojasnjuje: “StilachiRAT izvleče Google Chromeovo encryption_key iz lokalne datoteke v uporabniškem imeniku. Vendar, ker je ključ šifriran ob prvi namestitvi Chroma, uporablja Windows API-je, ki se zanašajo na kontekst trenutnega uporabnika za dešifriranje glavnega ključa. To omogoča dostop do shranjenih poverilnic v trezorju gesel.”

To omogoča napadalcem, da pridobijo uporabniška imena in gesla, povezana s finančnimi računi, kar še dodatno poveča tveganje za digitalna sredstva žrtev. Poleg tega StilachiRAT vzpostavi povezavo za ukaze in nadzor (C2), kar omogoča oddaljenim operaterjem izvajanje ukazov, manipulacijo sistemskih procesov in vzdrževanje prisotnosti tudi po začetnem zaznavanju.

Zlonamerna programska oprema prav tako nenehno spremlja podatke odložišča, da pridobi kripto ključe in občutljive finančne informacije. Microsoftovo poročilo ugotavlja:

Spremljanje odložišča je neprekinjeno, s ciljanimi iskanji občutljivih informacij, kot so gesla, kripto ključi in potencialno osebni identifikatorji.

Z iskanjem specifičnih vzorcev, povezanih z naslovi kripto denarnic, StilachiRAT lahko prestreže in zamenja kopirane naslove denarnic, preusmerja transakcije na destinacije, ki jih nadzorujejo napadalci. Da bi omilili tveganje, Microsoft svetuje uporabnikom, naj izvajajo varnostne ukrepe, kot so omogočanje zaščit Microsoft Defender, uporaba varnih brskalnikov in izogibanje nepreverjenim prenosom. Ker se grožnje nenehno razvijajo, strokovnjaki za kibernetsko varnost pozivajo imetnike kriptovalut, naj bodo previdni pred novimi zlonamernimi programi, oblikovanimi za izkoriščanje digitalnih sredstev.