StilachiRAT: скрытный троян, который крадёт данные и помогает злоумышленникам захватывать сети
Новый троян удалённого доступа (RAT) для Windows под названием StilachiRAT , хотя пока ещё не получил широкого распространения, уже вызывает серьёзные опасения у экспертов по кибербезопасности. Аналитики Microsoft предупреждают, что этот вредонос демонстрирует сложные методы, позволяющие ему оставаться незамеченным, собирать конфиденциальные данные и даже обеспечивать боковое перемещение внутри корпоративных сетей.
Что делает StilachiRAT таким опасным?
StilachiRAT обладает широким набором функций, которые делают его серьёзной угрозой для целевых систем. Вот основные возможности этого трояна:
1. Сбор информации о системе :
Вредонос собирает данные, которые помогают злоумышленникам составить полную картину о заражённой системе. Сюда входят информация об операционной системе, идентификаторы оборудования, серийный номер BIOS, наличие камеры, активные сеансы RDP (удалённого рабочего стола), записи об установленном программном обеспечении и работающие приложения с графическим интерфейсом.
2. Кража данных и учётных данных :
StilachiRAT может перехватывать пароли, хранящиеся в браузере Chrome, читать содержимое буфера обмена (включая пароли, ключи криптовалютных кошельков и личные идентификаторы) и извлекать данные из конфигураций 20 расширений криптовалютных кошельков для Chrome (например, Coinbase Wallet, MetaMask и TronLink).
3. Мониторинг RDP-сеансов :
Одной из самых опасных функций трояна является возможность отслеживать сеансы RDP. StilachiRAT захватывает информацию о переднем плане окна и дублирует токены безопасности, выдавая себя за легитимных пользователей. Это особенно опасно на серверах RDP, где могут размещаться административные сеансы, что позволяет злоумышленникам перемещаться внутри сетей.
4. Выполнение команд с сервера управления (C2) :
Троян способен выполнять различные команды, полученные с сервера управления и контроля (C2). К ним относятся перезагрузка или приостановка работы системы, очистка журналов, запуск приложений, проверка открытых программ, изменение значений реестра Windows, манипуляция системными окнами, установка новых исходящих соединений и даже самоудаление.
Как StilachiRAT остаётся незамеченным?
Для связи с сервером C2 троян использует два предопределённых адреса, но только через два часа после установки и только если инструмент мониторинга сети TCPView не запущен. TCPView — это популярный инструмент, который помогает обнаруживать подозрительные исходящие соединения, что может указывать на присутствие исследователя или аналитика.
Кроме того, StilachiRAT применяет дополнительные антикриминалистические меры:
· Очищает журналы безопасности.
· Проверяет наличие песочниц и инструментов анализа.
· Обфусцирует вызовы Windows API, чтобы затруднить ручной анализ.
· Использует механизмы для обеспечения своей устойчивости на заражённых компьютерах.
Меры защиты и обнаружения
На данный момент аналитики Microsoft не связывают StilachiRAT с конкретной группой злоумышленников или географическим регионом. Также остаётся неизвестным, как именно троян распространяется среди жертв. Однако общие рекомендации по предотвращению загрузки и запуска вредоносного ПО применимы и в этом случае.
Microsoft предоставила индикаторы компрометации (IoC) и охотничьи запросы, которые могут помочь специалистам по кибербезопасности выявить следы присутствия StilachiRAT. Ключевые признаки включают:
· Подозрительные исходящие сетевые соединения.
· Признаки стойкости вредоноса.
· Противокриминалистическое поведение, такое как очистка журналов или обфускация вызовов API.
«Хотя StilachiRAT пока не получил широкого распространения, его возможности представляют собой серьёзную угрозу для организаций. Необходимо внимательно следить за новыми векторами атак и внедрять современные методы защиты», — заключили аналитики.
Дополнительная информация - https://puzater.blogspot.com/2025/03/stilachirat.html
"Поддельный Clop: как мошенники обманывают компании, выдавая себя за известный вирус-вымогатель"