Новий шкідливий код атакує користувачів криптовалюти, викрадаючи облікові дані гаманця та фінансові дані, обходячи шифрування Chrome та відстежуючи активність буфера обміну для перехоплення та перенаправлення транзакцій.
Новий шкідливий софт спустошує криптогаманці через Google Chrome
Ця стаття була опублікована понад рік тому. Деяка інформація може бути неактуальною.
АВТОР
ПОДІЛИТИСЯ
Новий шкідливий код націлений на користувачів криптовалюти, викрадаючи облікові дані гаманця та фінансові дані
Нещодавно виявлений троян віддаленого доступу (RAT), відомий як StilachiRAT, спеціально націлений на користувачів криптовалюти, викрадаючи облікові дані цифрового гаманця та виводячи конфіденційні дані. Дослідники Microsoft Incident Response докладно описали можливості шкідливого коду у звіті, опублікованому 17 березня 2025 року, підкреслюючи його фокус на компрометації користувачів Google Chrome, які зберігають розширення гаманців криптовалюти та збережені дані для входу.
Згідно з даними Microsoft:
StilachiRAT націлюється на список специфічних розширень криптовалютних гаманців для браузера Google Chrome.
Шкідливий код сканує наявність 20 різних розширень гаманців, включаючи Bitget Wallet (раніше Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal та Plug, що дозволяє зловмисникам витягувати інформацію про цифрові активи.
Окрім націлювання на криптовалютні гаманці, StilachiRAT також викрадає збережені дані для входу з Google Chrome, обходячи його механізми шифрування. У звіті пояснюється: «StilachiRAT витягує encryption_key Google Chrome з файлу local state у каталозі користувача. Однак, оскільки ключ зашифрований під час першого встановлення Chrome, він використовує Windows API, які залежні від контексту поточного користувача, щоб розшифрувати головний ключ. Це дозволяє отримати доступ до збережених даних для входу в сховище паролів.»
Це дозволяє зловмисникам отримувати імена користувачів та паролі, пов’язані з фінансовими рахунками, що ще більше підвищує ризик для цифрових активів жертв. Крім того, StilachiRAT встановлює з’єднання командного та керуючого (C2) сервера, дозволяючи віддаленим операторам виконувати команди, маніпулювати системними процесами та залишатися постійними навіть після початкового виявлення.
Шкідливий код також постійно контролює дані буфера обміну, щоб витягувати ключі криптовалют і конфіденційну фінансову інформацію. У звіті Microsoft зазначається:
Моніторинг буфера обміну є безперервним, з цільовими пошуками конфіденційної інформації, такої як паролі, криптовалютні ключі та потенційно персональні ідентифікатори.
Шляхом сканування специфічних шаблонів, пов’язаних з адресами криптовалют, StilachiRAT може перехоплювати та замінювати скопійовані адреси гаманців, перенаправляючи транзакції на місце, контрольоване зловмисником. Щоб зменшити ризик, Microsoft радить користувачам впроваджувати заходи безпеки, такі як увімкнення захисту Microsoft Defender, використання безпечних браузерів та уникання неперевірених завантажень. Оскільки ландшафт загроз еволюціонує, експерти з кібербезпеки закликають власників криптоактивів залишатися пильними щодо нових загроз, створених для експлуатації цифрових активів.
