微软发现新远程访问特洛伊木马,用于加密货币盗窃和侦察
HackerNews 编译,转载请注明出处: 微软发现了一种新的远程访问特洛伊木马(RAT),该木马采用“复杂技术”来规避检测、维持持久性和窃取敏感数据。 尽管该恶意软件(被称为 StilachiRAT)尚未广泛传播,但微软决定公开分享妥协指标和缓解指导,以帮助网络防御者检测这一威胁并减少其影响。 由于 StilachiRAT 在野外部署的实例有限,微软尚未将此恶意软件归因于特定的威胁行为者或与特定地理位置关联。 “2024 年 11 月,微软事件响应研究人员发现了一种新型远程访问特洛伊木马(RAT),我们将其命名为 StilachiRAT,它展示了复杂的规避检测、在目标环境中持续存在和窃取敏感数据的技术,”微软表示。 对包含 StilachiRAT 功能的 WWStartupCtrl64.dll 模块的分析显示,该恶意软件使用了多种方法从目标系统中窃取信息,例如存储在浏览器中的凭证、数字钱包信息、剪贴板中的数据以及系统信息。 这种新 RAT 的功能中,微软特别指出了其侦察功能,例如收集系统数据,包括硬件标识符、摄像头是否存在、活跃的远程桌面协议(RDP)会话以及运行中的基于 GUI 的应用程序,以对目标系统进行画像。 在被部署到受损系统后,攻击者可以利用 StilachiRAT 通过扫描 20 种加密货币钱包扩展的配置信息来窃取数字钱包数据,包括 Coinbase 钱包、Phantom、Trust 钱包、MetaMask、OKX 钱包、Bitget 钱包等。 该恶意软件还利用 Windows API 窃取存储在 Google Chrome 本地状态文件中的凭证,并监控剪贴板活动以获取敏感信息,如密码和加密货币密钥,同时跟踪活跃窗口和应用程序。 一旦作为独立进程或 Windows 服务启动,RAT 通过 Windows 服务控制管理器(SCM)获得并保持持久性,并使用看门狗线程监控恶意软件的二进制文件,确保它们在不活跃时自动重新创建。 StilachiRAT 还能够通过捕获前台窗口信息和克隆安全令牌来模仿登录用户,从而在受害者网络中横向移动,尤其是在 RDP 服务器上部署 RAT 后,这些服务器通常托管管理会话。 “该恶意软件获取当前会话,积极启动前台窗口,并枚举所有其他 RDP 会话,”微软表示。“对于每个已识别的会话,它将访问 Windows 资源管理器外壳并复制其权限或安全令牌。然后,恶意软件可以使用这些新获得的权限启动应用程序。” RAT 的功能还包括广泛的检测规避和反取证功能,例如清除事件日志的能力和检查是否在沙箱环境中运行以阻止恶意软件分析尝试。即使被诱骗在沙箱中运行,StilachiRAT 的 Windows API 调用也被编码为“在运行时动态解析的校验和”,并进一步混淆以减慢分析速度。 最后,微软表示 StilachiRAT 允许通过命令和控制(C2)服务器的命令执行以及潜在的类似 SOCKS 的代理功能,这可以让威胁行为者重启受损系统、清除日志、窃取凭证、执行应用程序以及操作系统窗口。 其他命令旨在“暂停系统、修改 Windows 注册表值以及枚举打开的窗口。” 为了减少此恶意软件可以利用来攻击目标系统的攻击面,微软建议仅从官方网站下载软件,并使用能够阻止恶意域名和电子邮件附件的安全软件。 消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文