Microsoft наскоро разкри съществуването на този нов Remote Access Trojan (RAT), който използва изключително изтънчени техники за избягване на засичане. Екипът по реагиране при инциденти на компанията попадна на следите му през ноември 2023 г., но дори и сега, експертите все още не могат да определят кой стои зад тази заплаха.
Това, което прави StilachiRAT особено опасен, е неговата способност да се “самовъзстановява”. Ако бъде открит и премахнат от системата, той разполага с механизми, които му позволяват да се преинсталира автоматично. Представете си го като хидра – отрязвате една глава, а на нейно място израстват две нови.
След като успее да проникне в устройството, StilachiRAT използва Windows service control manager (SCM), за да осигури постоянното си присъствие. Той създава т.нар. “watchdog” процеси, които следят за състоянието на зловредния софтуер и го възстановяват, ако бъде премахнат.
Но това е само началото. Този троянец е истински майстор на прикриването – той може да изчиства системните логове, заличавайки всякакви следи от присъствието си. Освен това е програмиран да разпознава, когато е стартиран в защитена среда (sandbox), създадена от изследователи по сигурност. Дори когато експертите успяват да го подмамят да се активира в контролирана среда, анализирането му остава предизвикателство.
Въпреки изтънчените си техники за прикриване, целите на този троянец са доста стандартни за този тип зловреден софтуер:
– Пароли и данни за вход, съхранявани в браузъра – Информация за дигитални портфейли – Данни, копирани в клипборда – Системна информация (хардуерни идентификатори, наличие на камера, активни RDP сесии)
Особено внимание StilachiRAT отделя на криптовалутните портфейли. Той може да сканира конфигурационната информация на 20 различни разширения за криптовалутни портфейли, включително популярни като Phantom, MetaMask, Trust Wallet и много други.
StilachiRAT обаче не се ограничава само с кражба на данни. Той предоставя на нападателите възможност за отдалечено изпълнение на команди, което им позволява да рестартират устройството, да стартират приложения и дори да извършват по-сложни операции.
Зловредният софтуер разполага с команди за временно спиране на системата, промяна на стойности в Windows регистъра и изброяване на отворените прозорци. Това на практика дава на нападателите пълен контрол над заразеното устройство.
Макар Microsoft да не разкрива как точно се разпространява StilachiRAT, вероятно той използва традиционните вектори за атака – фишинг имейли, зловредни уебсайтове или пиратски софтуер.
За да се предпазите от подобни заплахи, е добре да следвате основните правила за дигитална хигиена:
– Не отваряйте подозрителни имейли или прикачени файлове. Не използвайте USB флашки, които не са ваши. Изтегляйте софтуер само от официални източници. Поддържайте операционната си система и софтуера актуализирани. Използвайте надеждна антивирусна програма. И разбира се, за всеки случай правете редовно резервни копия на важните си данни
