Expertos han advertido sobre un nuevo Troyano de Acceso Remoto (RAT) que utiliza «técnicas sofisticadas» para ocultarse y persistir mientras roba información sensible de los usuarios.
Investigadores de Microsoft señalaron que el malware es aún demasiado «joven» para ser atribuido a algún actor específico o campaña de amenazas.
«En noviembre de 2024, los investigadores de Respuesta a Incidentes de Microsoft descubrieron un nuevo troyano de acceso remoto (RAT) que llamamos StilachiRAT, el cual demuestra técnicas sofisticadas para evadir la detección, persistir en el entorno objetivo y extraer datos sensibles», informó Microsoft.
Criptomonedas en la mira
La compañía no explicó cómo se distribuye el RAT, pero una vez instalado en un dispositivo, mantiene su persistencia a través del administrador de control de servicios de Windows (SCM). Utiliza procesos de vigilancia para rastrear los binarios del malware y recrearlos si son eliminados, esencialmente reinstalando el malware si es necesario.
En cuanto a la evasión y anti-forense, puede limpiar registros de eventos y buscar indicios de que está ejecutándose en un entorno sandbox. Incluso si se le engaña para que se ejecute en un sandbox, sus llamadas a la API de Windows siguen codificadas como «checksums que se resuelven dinámicamente en tiempo de ejecución», lo que dificulta aún más el análisis.
En cuanto a sus funciones, StilachiRAT no se desvía mucho de los típicos Troyanos de Acceso Remoto. Se dirige a credenciales almacenadas en el navegador, información de billeteras digitales, datos almacenados en el portapapeles e información del sistema (identificadores de hardware, presencia de cámara, sesiones activas de Protocolo de Escritorio Remoto (RDP) y aplicaciones GUI en ejecución para perfilar los sistemas objetivo).
StilachiRAT está particularmente interesado en billeteras de criptomonedas. Puede escanear la información de configuración de 20 extensiones de billeteras como Phantom, MetaMask, Trust Wallet y muchas otras.
Pero la herramienta puede hacer mucho más que «solo» robar datos – permite la ejecución remota de comandos, otorgando a los atacantes la capacidad de reiniciar el dispositivo, ejecutar aplicaciones y más. Incluso hay comandos diseñados para «suspender el sistema, modificar valores del registro de Windows y enumerar ventanas abiertas».
