微软警告：新型 RAT 木马 StilachiRAT 窃取凭证与加密钱包

2025-11-26 20:12:36分类：物联网阅读(5)

微软近日发出警告，微软提醒用户注意一种名为StilachiRAT的警告加密新型远程访问木马（RAT） 。微软指出，新型该木马采用了高级技术来规避检测 ，木马并在目标环境中长期潜伏 ，窃取钱包其主要目的凭证是窃取敏感数据。

微软事件响应团队在一份分析报告中表示，微软该恶意软件具备从目标系统中窃取信息的警告加密能力 ，包括浏览器中存储的新型凭证 、数字钱包信息、木马剪贴板中的窃取钱包数据以及系统信息。建站模板

微软称
 ，凭证StilachiRAT于2024年11月被发现
，微软其RAT功能存在于名为“WWStartupCtrl64.dll”的警告加密DLL模块中。目前尚不清楚该木马的新型传播方式 ，但微软指出，此类木马可以通过多种初始访问途径安装，因此组织采取足够的安全措施至关重要。

StilachiRAT的窃密机制

StilachiRAT设计用于收集广泛的系统信息，包括操作系统（OS）详情、BIOS序列号等硬件标识符 、摄像头状态、源码库活动远程桌面协议（RDP）会话以及运行的图形用户界面（GUI）应用程序
。这些信息通过基于组件的对象模型（COM）和企业级基于Web的管理（WBEM）接口 ，使用WMI查询语言（WQL）进行收集 。

此外
，StilachiRAT还针对Google Chrome浏览器中安装的一系列加密货币钱包扩展程序进行攻击 。其目标列表包括Bitget Wallet 、Trust Wallet
、TronLink 、MetaMask、TokenPocket、BNB Chain Wallet
、OKX Wallet 、高防服务器Sui Wallet 、Braavos – Starknet Wallet 、Coinbase Wallet 、Leap Cosmos Wallet、Manta Wallet
 、Keplr、Phantom
、Compass Wallet for Sei
、Math Wallet 、Fractal Wallet、Station Wallet 、ConfluxPortal以及Plug 。

StilachiRAT还会提取Chrome浏览器中存储的凭证 ，定期收集剪贴板内容（如密码和加密货币钱包） ，通过捕获前台窗口信息来监控RDP会话 ，云计算并与远程服务器建立联系以窃取收集到的数据。

命令与控制（C2）功能

StilachiRAT的命令与控制（C2）服务器通信是双向的，允许恶意软件执行其发送的指令
。这些功能表明 ，StilachiRAT既可用于间谍活动 ，也可用于系统操控。它支持多达10种不同的命令，包括 ：

07 – 显示一个对话框  ，并渲染来自指定URL的HTML内容08 - 清除事件日志条目09 - 使用未公开的香港云服务器Windows API（"ntdll.dll!NtShutdownSystem"）启用系统关机13 - 从C2服务器接收网络地址并建立新的出站连接14 - 在指定的TCP端口上接受入站网络连接15 - 终止已打开的网络连接16 - 启动指定应用程序19 - 枚举当前桌面上所有打开的窗口，以搜索指定的标题栏文本26 - 将系统置于挂起（睡眠）状态或休眠状态30 - 窃取Google Chrome密码

微软表示 ：“StilachiRAT通过清除事件日志并检查某些系统条件来规避检测 ，显示出反取证行为 。这包括循环检查分析工具和沙盒计时器 ，以防止其在常用于恶意软件分析的虚拟机环境中完全激活。”

其他恶意软件样本的发现

此次披露恰逢Palo Alto Networks Unit 42团队详细介绍了去年检测到的三种异常恶意软件样本，包括 ：

一种用C++/CLI开发的被动互联网信息服务（IIS）后门，源码下载具备解析特定HTTP请求并执行其中命令的能力，可以运行命令 、获取系统元数据
 、创建新进程
、执行PowerShell代码以及将shellcode注入正在运行或新的进程。一种使用未经验证的内核驱动程序安装GRUB 2引导加载程序的Bootkit 。该Bootkit被认为是由密西西比大学的未知方创建的概念验证（PoC）。当系统重启时 ，GRUB 2引导加载程序会显示一张图片
，并通过PC扬声器定期播放《Dixie》，这种行为表明该恶意软件可能是一种恶作剧  。一种用C++开发的跨平台后利用框架的Windows植入程序 。

这些发现进一步凸显了网络安全威胁的多样性和复杂性，提醒安全研究人员和组织保持警惕 ，及时更新安全防护措施。