Los investigadores de Microsoft han identificado un nuevo troyano de acceso remoto (rata) llamado Stilachirat, diseñado para robar datos de billetera de criptomonedas, credenciales e información del sistema mientras mantienen el acceso persistido a dispositivos comprometidos, la compañía revelado We 17 de marzo.
El malware, detectado por primera vez en noviembre de 2024, emplea técnicas de sigilo y medidas anti-forenses para evadir la detección.
Si bien Microsoft aún no ha otorgado a Stilachirat a un actor de amenazas conocido, los expertos en seguridad advierten que sus capacilidades podrían representar un riesgo significativo de seguridad cibernética, particularmente para los usuarios que manejan la criptografía.
Amenaza sofisticada
Stilachirat es capaz de escanear y extraer datos de 20 extensiones de billetera de criptomonedas diferentes en Google Chrome, incluida Metamask, Billet de confianza y Billetera Coinbase, lo que permite a los atacantes acceder a fondos de la tienda.
Además, el malware descifra contraseñas de Chrome, monitorea la actividad del portapapeles para datos financieros confidenciales y establece conexiones remotas de comando y control (C2) a través de los puertos TCP 53, 443 y 16000 para ejecutar comandos en máquinas infectables.
La RAT también monitorea las sesiones activas del Protocolo de escritorio remoto (DRP), se hace pasar por los usuarios al duplicar tokens de seguridad y permite el movimiento lateral a través de las redes, una falla especialmente peligrosa para la empresa.
El mecanismo de persistencia incluye modificar la configuración del servicio de Windows y el lanzamiento de los hilos de vigilancia para restablecerlo si se elimina.
Para evadir aún más la detección, Stilachirat borra los registros de eventos del sistema, disfraza las llamadas de la API y retrasa su conexión inicial con los servidores C2 por dos horas. También busca herramientas de análisis como tcpview.exe y la ejecución de los pasillos si están presentes, lo que dificulta el análisis forense.
Estrategias y respuesta de mitigación
Microsoft aconsejó a los usuarios que descarguen software solo de fuentes oficiales, ya que el malware como Stilachirat puede disfrazarse de aplicaciones legítimas.
La compañía también recomendó habilitar la protección de la red en el defensor de Microsoft para el punto final y la activación de enlaces seguros y accesorios seguros en Microsoft 365 para proteger contra la distribución de malware basada en el phishing.
Microsoft Defender XDR se ha actualizado para detectar la actividad de Stilachirat. Se insta a los profesionales de la seguridad a monitorear el tráfico de red para conexiones inusuales, inspeccionar las modificaciones del sistema y rastrear el servicio no autorizado que pueda obtener información sobre una infección.
Si bien Microsoft no ha observado una distribución generalizada de Stilachirat, la compañía advirtió que los actores de amenaza frecuentemente evolucionan su malware para evitar medidas de seguridad. Microsoft dijo que continúa monitoreando la amenaza y proporcionará más actualizaciones a través de su blog de inteligencia de amenazas.
Mencionado en este artículo
