IT之家 3 月 18 日消息,科技媒体 bleepingcomputer 昨日(3 月 17 日)发布博文,报道称微软安全团队最新发现一种名为 StilachiRAT 的新型远程访问木马(RAT),该恶意软件通过高级技术逃避检测、维持持久性并窃取敏感数据。
IT之家援引博文介绍,尽管当前传播范围有限,微软仍提前公开威胁指标与防御建议,协助网络安全人员降低潜在危害。目前尚未确认该恶意软件的幕后攻击者或地理来源。
StilachiRAT 木马通过 WWStartupCtrl64.dll 模块,扫描 Coinbase、Metamask 等 20 种加密货币钱包扩展,获取数字钱包数据。
此外,该木马还会提取 Chrome 浏览器保存的凭证,监控剪贴板中的密码和加密货币密钥,记录系统硬件信息及活跃的远程桌面协议(RDP)会话。
该木马会收集摄像头状态、GUI 应用运行情况,构建目标系统画像以定位高价值攻击目标,该木马还会通过克隆用户安全令牌伪装登录身份,可突破 RDP 服务器的管理员会话限制,在受害网络内横向渗透。
该木马以独立进程或 Windows 服务形式部署后,绑定 **Windows 服务控制管理器(SCM)** 持久化,利用“看门狗线程”监控自身进程,若被终止将自动重建。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
闽公网安备 35020602001684号