Ny skadlig programvara attackerar kryptovalutaanvändare genom att stjäla plånbokuppgifter och finansiell data genom att kringgå Chromes kryptering och övervaka urklippsaktivitet för att avlyssna och omdirigera transaktioner.
Ny skadlig programvara tömmer kryptoplånböcker via Google Chrome
Denna artikel publicerades för mer än ett år sedan. Viss information kanske inte längre är aktuell.
SKRIVEN AV
DELA
Ny skadlig programvara riktar sig mot kryptovalutaanvändare och stjäl plånbokuppgifter och finansiell data
En nyupptäckt fjärråtkomst-trojan (RAT) känd som StilachiRAT riktar sig specifikt mot kryptovalutaanvändare genom att stjäla digitala plånbokuppgifter och exfiltrera känslig data. Microsoft Incident Response-forskare detaljerade dess kapacitet i en rapport publicerad den 17 mars 2025 och betonade dess fokus på att kompromettera Google Chrome-användare som sparar kryptovalutaplånbokstillägg och sparade inloggningsuppgifter.
Enligt Microsoft:
StilachiRAT riktar sig mot en lista av specifika kontoplånbokstillägg för Google Chrome-webbläsaren.
Den skadliga programvaran skannar efter 20 olika plånbokstillägg, inklusive Bitget Wallet (tidigare Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet för Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal och Plug, vilket möjliggör för angripare att utvinna digital tillgångsinformation.
Förutom att rikta sig mot kryptovalutaplånböcker stjäl StilachiRAT även sparade inloggningsuppgifter från Google Chrome genom att kringgå dess krypteringsmekanismer. Rapporten förklarar: ”StilachiRAT extraherar Google Chromes encryption_key från lokala statusfilen i en användares katalog. Eftersom nyckeln dock är krypterad när Chrome är först installerat, använder den Windows API:er som bygger på den nuvarande användarens kontext för att dekryptera huvudnyckeln. Detta tillåter åtkomst till de lagrade uppgifterna i lösenordsvalvet.”
Detta möjliggör för angripare att hämta användarnamn och lösenord kopplade till finansiella konton, vilket ytterligare ökar risken för offrets digitala tillgångar. Dessutom etablerar StilachiRAT en kommando-och-kontroll (C2) anslutning, vilket tillåter fjärroperatörer att utföra kommandon, manipulera systemprocesser och förbli ihållande även efter initial upptäckt.
Den skadliga programvaran övervakar också kontinuerligt urklippsdata för att utvinna kryptovalutanycklar och känslig finansiell information. Microsofts rapport noterar:
Övervakning av urklippsdata är kontinuerlig, med riktade sökningar efter känslig information som lösenord, kryptovalutanycklar och potentiella personidentifierare.
Genom att skanna efter specifika mönster kopplade till kryptovalutaadresser kan StilachiRAT avlyssna och ersätta kopierade plånboksadresser och omdirigera transaktioner till en angriparkontrollerad destination. För att minska risken råder Microsoft användare att implementera säkerhetsåtgärder som att aktivera Microsoft Defender-skydd, använda säkra webbläsare och undvika overified downloads. När hotlandskapet utvecklas uppmanar experter på cybersäkerhet kryptoinnehavare att förbli vaksamma mot ny uppkommande skadlig programvara utformad för att utnyttja digitala tillgångar.
