Microsoft ha audaz una alerta sobre un nuevo (y sofisticado) malware denominado StilachiRAT, un malware troyano de paso remoto (RAT, por sus siglas en inglés) que representa una amenaza para los usuarios de Windows, especialmente aquellos que utilizan el navegador Google Chrome.
Este malware, descubierto el pasado mes de noviembre, combina técnicas avanzadas de diversión, persistencia y robo de información sensible (incluyendo credenciales almacenadas, datos del sistema y claves de criptomonedas).
'Sgroogled.com': cuando MICROSOFT lanzaba anuncios ANTI-GOOGLE
¿Qué es StilachiRAT y cómo opera?
StilachiRAT es una habitación de software desconfiado que se instala sigilosamente en un sistema Windows, generalmente mediante programas o actualizaciones falsas que aparentan ser legítimos. Una vez infectado el equipo, el troyano se comunica con servidores remotos, permitiendo a los atacantes ejecutar comandos, compilar información y mantenerse ocultos durante largos periodos de tiempo.
Microsoft aún no ha atribuido este troyano a un camarilla cibercriminal específico ni ha identificado una geolocalización precisa de su origen, aunque advierte que sus capacidades son preocupantes.
Principales capacidades del troyano
- Gratitud del sistema: El malware recopila información detallada del sistema, incluyendo el sistema operante, el número de serie del BIOS, la presencia de webcam, sesiones activas de Escritorio Remoto (RDP) y qué aplicaciones se están ejecutando. Toda esta información permite al atacante perfilar minuciosamente al dispositivo infectado.
- Robo de credenciales y datos del navegador: StilachiRAT es capaz de extraer las credenciales almacenadas en Google Chrome, accediendo y descifrando la secreto de enigmático maestra que protege las contraseñas guardadas en el navegador.
- Ataque a carteras de criptomonedas: Uno de los objetivos más preocupantes del troyano es el robo de criptomonedas. El malware escanea el sistema en búsqueda de extensiones de monederos digitales instaladas en Chrome, como MetaMask, Trust Wallet, Phantom, entre otras 20, y extrae sus configuraciones para comprometer las claves privadas y contraseñas.
"Stilachirat se dirige a una tira de extensiones de billetera de criptomonedas específicas para el navegador Google Chrome"
- Control remoto y persistencia: El troyano establece comunicación con servidores externos a través de los puertos TCP 53, 443 o 16000, ejecutando (a petición de quien los controla) órdenes como reiniciar el sistema, borrar registros, ejecutar aplicaciones, manipular el registro de Windows o incluso poner el sistema en suspensión. Adicionalmente, cuenta con mecanismos de persistencia que permiten su reinstalación cibernética si es eliminado.
- Monitorización del portapapeles: Una de sus funciones más invasivas es la vigilancia continua del contenido del portapapeles. StilachiRAT búsqueda específicamente información sensible como direcciones, claves y contraseñas relacionadas con la criptomoneda TRON, ampliamente utilizada en Asia.
- Diversión forense: El malware poso registros de eventos, detecta herramientas de observación, evita entornos sandbox y ofusca llamadas a APIs del sistema para dificultar su detección y observación técnico.
Microsoft señala la existencia de un fichero 'Wwstartupctrtl64.dll' como indicador de infección
Recomendaciones de Microsoft para acogerse
Microsoft ha difundido una serie de recomendaciones para mitigar el aventura de infección:
- Evitar descargas de fuentes no oficiales, especialmente de software, extensiones o supuestas actualizaciones.
- Usar navegadores con protección integrada: aquí aprovechan para proponer su proopio software, Microsoft Edge (que incorpora SmartScreen para estrechar sitios maliciosos).
- Activar herramientas antimalware.
Imagen | Marcos Merino mediante IA
En Xataka Android | Google está eliminando un montón de aplicaciones de la Play Store. Estas son las razones
