A StilachiRAT komoly adatlopási képességekkel rendelkezik
A StilachiRAT WWStartupCtrl64.dll moduljának elemzése feltárta, hogy a kártevő különféle módszereket használ információk ellopására, például böngészőben tárolt hitelesítő adatokat, digitális pénztárcákkal kapcsolatos információkat, vágólapra mentett adatokat, valamint rendszerinformációkat gyűjt. A kártevő felderítési képességei közé tartozik a rendszeradatok gyűjtése, beleértve a hardverazonosítókat, a kamera jelenlétét, az aktív Távoli Asztali Protokoll (RDP) munkameneteket és a futó grafikus felhasználói felületen (GUI) alapuló alkalmazásokat, amelyekkel a célrendszereket profilozza.
A fertőzött rendszereken a StilachiRAT képes digitális pénztárca-adatok ellopására, és 20 különböző kriptovaluta-pénztárca bővítményének konfigurációs információit vizsgálja, mint például a Coinbase Wallet, Phantom, Trust Wallet, MetaMask és OKX Wallet. A malware a Windows API-kon keresztül kinyeri a Google Chrome helyi állapotfájljaiban mentett hitelesítő adatokat, valamint figyeli a vágólap tevékenységét, hogy érzékeny információkat, például jelszavakat és kriptopénz-kulcsokat gyűjtsön.
Kifinomult elrejtőzési és fennmaradási stratégiák
A kártevő önálló folyamatként vagy Windows-szolgáltatásként indulva biztosítja fennmaradását, és gondoskodik arról, hogy automatikusan újratelepüljön figyelőszálak segítségével, amelyek monitorozzák a malware bináris fájljait, és újraalkotják azokat, ha inaktívvá válnak. A StilachiRAT képes figyelemmel kísérni az aktív RDP-munkameneteket is, információkat rögzítve az előtérben lévő ablakokról és biztonsági tokeneket klónozva, amelyek segítségével megszemélyesítheti a bejelentkezett felhasználókat, lehetővé téve a támadók számára a terjedést az áldozat helyi hálózatában.
A RAT képességei kiterjedtek felderítés-elkerülési és anti-forenzikus funkciókkal, például az eseménynaplók törlésével és annak ellenőrzésével, hogy a kártevő sandbox környezetben fut-e. Még ha sikerül is sandboxban futtatni, a StilachiRAT Windows API-hívásai “ellenőrzőösszegnek (cheksum) vannak elkódolva” így tovább bonyolítva az elemzést és lassítva annak folyamatát.
A Microsoft szerint a StilachiRAT lehetővé teszi a parancsok végrehajtását és a potenciális SOCKS-szerű proxyzást a command-and-control (C2) szerverről a fertőzött eszközökre. Ez lehetővé teszi az elkövetők számára a kompromittált rendszer újraindítását, naplók törlését, hitelesítő adatok ellopását, alkalmazások végrehajtását és a rendszerablakok manipulálását.
