新的恶意软件通过谷歌Chrome窃取加密钱包

新型恶意软件瞄准加密货币用户，窃取钱包凭证和财务数据

一种新发现的远程访问木马（RAT），称为StilachiRAT，专门针对加密货币用户，窃取数字钱包凭证并泄露敏感数据。Microsoft事件响应研究人员在2025年3月17日发表的一份报告中详细介绍了该恶意软件的功能，重点关注其如何攻击存储加密货币钱包扩展程序和保存登录凭证的Google Chrome用户。

根据微软的说法：

StilachiRAT针对Google Chrome浏览器的一系列特定加密货币钱包扩展程序。

该恶意软件扫描20种不同的钱包扩展程序，包括Bitget Wallet（前身为Bitkeep）、Trust Wallet、Tronlink、Metamask（以太坊）、Tokenpocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、Confluxportal和Plug，允许攻击者提取数字资产信息。

除了针对加密货币钱包，StilachiRAT还通过绕过加密机制窃取存储在Google Chrome中的登录凭证。报告解释道：“StilachiRAT从用户目录中的本地状态文件中提取Google Chrome的加密密钥。然而，由于密钥在首次安装Chrome时被加密，它使用依赖于当前用户上下文的Windows API来解密主密钥。这允许访问密码库中的存储凭证。”

这使攻击者能够获取与金融账户相关的用户名和密码，进一步增加受害者数字资产的风险。此外，StilachiRAT建立了命令与控制（C2）连接，允许远程操作者执行命令，操控系统进程，并在初始检测后保持持续存在。

该恶意软件还持续监控剪贴板数据以提取加密货币密钥和敏感金融信息。Microsoft的报告指出：

剪贴板监控是连续的，对密码、加密货币密钥以及潜在的个人识别信息进行有针对性的搜索。

通过扫描与加密货币地址相关的特定模式，StilachiRAT可以拦截和替换复制的钱包地址，将交易重定向到攻击者控制的目的地。为降低风险，Microsoft建议用户实施安全措施，如启用Microsoft Defender保护、使用安全浏览器和避免下载未经验证的软件。随着威胁环境的发展，网络安全专家敦促加密货币持有人对旨在利用数字资产的新兴恶意软件保持警惕。