A Microsoft veszélyes új trójai vírust fedezett fel, amely elrejtőzik a rendszerben

Featured Image
A Microsoft egy új távoli hozzáférésű trójai (RAT) vírust azonosított, amely “kifinomult technikákat” alkalmaz a felderítés elkerülésére, a rendszerben maradásra és az érzékeny adatok megszerzésére. Bár a StilachiRAT néven ismert kártevő még nem terjedt el széles körben, a Microsoft úgy döntött, hogy nyilvánosan megosztja a kompromittálás jeleit és a védekezési útmutatót, ezzel segítve a hálózatvédelmi szakembereket a fenyegetés felismerésében és hatásának csökkentésében. A korlátozott előfordulás miatt a Microsoftnak egyelőre nem sikerült konkrét fenyegetési szereplőhöz vagy földrajzi helyhez kötnie a vírus működését.

A StilachiRAT komoly adatlopási képességekkel rendelkezik

A StilachiRAT WWStartupCtrl64.dll moduljának elemzése feltárta, hogy a kártevő különféle módszereket használ információk ellopására, például böngészőben tárolt hitelesítő adatokat, digitális pénztárcákkal kapcsolatos információkat, vágólapra mentett adatokat, valamint rendszerinformációkat gyűjt. A kártevő felderítési képességei közé tartozik a rendszeradatok gyűjtése, beleértve a hardverazonosítókat, a kamera jelenlétét, az aktív Távoli Asztali Protokoll (RDP) munkameneteket és a futó grafikus felhasználói felületen (GUI) alapuló alkalmazásokat, amelyekkel a célrendszereket profilozza.

 

A fertőzött rendszereken a StilachiRAT képes digitális pénztárca-adatok ellopására, és 20 különböző kriptovaluta-pénztárca bővítményének konfigurációs információit vizsgálja, mint például a Coinbase Wallet, Phantom, Trust Wallet, MetaMask és OKX Wallet. A malware a Windows API-kon keresztül kinyeri a Google Chrome helyi állapotfájljaiban mentett hitelesítő adatokat, valamint figyeli a vágólap tevékenységét, hogy érzékeny információkat, például jelszavakat és kriptopénz-kulcsokat gyűjtsön.

Kifinomult elrejtőzési és fennmaradási stratégiák

A kártevő önálló folyamatként vagy Windows-szolgáltatásként indulva biztosítja fennmaradását, és gondoskodik arról, hogy automatikusan újratelepüljön figyelőszálak segítségével, amelyek monitorozzák a malware bináris fájljait, és újraalkotják azokat, ha inaktívvá válnak. A StilachiRAT képes figyelemmel kísérni az aktív RDP-munkameneteket is, információkat rögzítve az előtérben lévő ablakokról és biztonsági tokeneket klónozva, amelyek segítségével megszemélyesítheti a bejelentkezett felhasználókat, lehetővé téve a támadók számára a terjedést az áldozat helyi hálózatában.

 

A RAT képességei kiterjedtek felderítés-elkerülési és anti-forenzikus funkciókkal, például az eseménynaplók törlésével és annak ellenőrzésével, hogy a kártevő sandbox környezetben fut-e. Még ha sikerül is sandboxban futtatni, a StilachiRAT Windows API-hívásai “ellenőrzőösszegnek (cheksum) vannak elkódolva” így tovább bonyolítva az elemzést és lassítva annak folyamatát.

 

A Microsoft szerint a StilachiRAT lehetővé teszi a parancsok végrehajtását és a potenciális SOCKS-szerű proxyzást a command-and-control (C2) szerverről a fertőzött eszközökre. Ez lehetővé teszi az elkövetők számára a kompromittált rendszer újraindítását, naplók törlését, hitelesítő adatok ellopását, alkalmazások végrehajtását és a rendszerablakok manipulálását.

2025, adrienne, www.bleepingcomputer.com alapján

  • Mit gondolsz arról, hogy a Microsoft nyilvánosan megosztotta a StilachiRAT kompromittálási jeleit?
  • Te mit tennél, ha felfedeznél egy ilyen erős kártevőt a rendszereden?
  • Szerinted mennyire lenne hatékony a saját hálózatod védelme ebben az esetben?




Legfrissebb posztok


Címlapon

A Google új MI-je könnyedén eltávolítja a vízjeleket a képekről
A klímaváltozás nem csak viharokat, hanem vírusjárványokat is hozhat
A Virgin Atlantic és a Joby elindítja az első brit légi taxi szolgáltatást
Az MI-vonaton: Cuban szerint muszáj felszállni vagy lemarad a cég
Emberi küldetés akár 2029-ben – A Starship 2026 végén indul a Marsra