3月18日消息,近日有科技媒体报道称,微软安全团队发现了一种新型的远程访问木马(RAT),命名为StilachiRAT。这款恶意软件具备较高的技术复杂性,能够有效规避检测,同时维持系统持久性并窃取敏感信息。
根据报道内容,尽管StilachiRAT目前的传播范围较为有限,但微软已提前公开了与该威胁相关的指标及防御建议,以帮助网络安全人员减少潜在风险。目前,尚未明确该恶意软件的具体幕后操控者或其地理来源。
StilachiRAT通过模块WWStartupCtrl64.dll对目标系统进行攻击,主要扫描包括Coinbase、Metamask在内的20种加密货币钱包扩展程序,试图获取数字钱包的相关数据。此外,这款木马还会窃取存储在Chrome浏览器中的登录凭证,监控剪贴板中可能存在的密码和加密货币密钥,并记录系统硬件配置以及当前活跃的远程桌面协议(RDP)会话。
更进一步的是,该木马能够收集摄像头状态、图形用户界面(GUI)应用程序的运行情况等信息,从而构建目标系统的详细画像,以识别高价值攻击对象。同时,它还可以通过克隆用户的安全令牌伪装成合法用户登录,突破RDP服务器上的管理员会话限制,实现网络内的横向移动。
在部署方面,StilachiRAT可以作为独立进程或Windows服务运行,并通过绑定至Windows服务控制管理器(SCM)来确保持久性。为了防止被清除,该木马还设置了一个“看门狗线程”,用于实时监控自身进程。一旦检测到进程被终止,它将自动重建以恢复运行。
标签: 新闻资讯
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
