Microsoft Cảnh Báo về StilachiRAT: Một RAT Tàng Hình Nhắm Mục Tiêu Thông Tin Đăng Nhập và Ví Tiền Điện Tử – Microsoft đang kêu gọi sự chú ý đến một trojan truy cập từ xa (RAT) mới có tên StilachiRAT, mà họ cho biết sử dụng các kỹ thuật tiên tiến để lách sự phát hiện và duy trì sự hiện diện trong môi trường mục tiêu với mục đích cuối cùng là đánh cắp dữ liệu nhạy cảm.

Phần mềm độc hại này có khả năng “đánh cắp thông tin từ hệ thống mục tiêu, chẳng hạn như thông tin đăng nhập được lưu trữ trong trình duyệt, thông tin ví tiền điện tử, dữ liệu được lưu trữ trong khay nhớ tạm, cũng như thông tin hệ thống,” nhóm Phản ứng Sự cố của Microsoft cho biết trong một phân tích. Gã khổng lồ công nghệ cho biết họ đã phát hiện ra StilachiRAT vào tháng 11 năm 2024, với các tính năng RAT của nó có trong một mô-đun DLL có tên “WWStartupCtrl64.dll”. Phần mềm độc hại này vẫn chưa được gán cho bất kỳ tác nhân đe dọa hoặc quốc gia cụ thể nào. Hiện tại vẫn chưa rõ cách phần mềm độc hại này được phân phối đến các mục tiêu, nhưng Microsoft lưu ý rằng các trojan như vậy có thể được cài đặt thông qua nhiều con đường truy cập ban đầu khác nhau, khiến cho việc các tổ chức triển khai các biện pháp bảo mật đầy đủ trở nên rất quan trọng.

StilachiRAT được thiết kế để thu thập thông tin hệ thống một cách rộng rãi, bao gồm chi tiết hệ điều hành (OS), các định danh phần cứng như số sê-ri BIOS, sự hiện diện của camera, các phiên Giao thức Máy tính Từ xa (RDP) đang hoạt động và các ứng dụng giao diện người dùng đồ họa (GUI) đang chạy. Những chi tiết này được thu thập thông qua các giao diện Quản lý Doanh nghiệp Dựa trên Web (WBEM) của Mô hình Đối tượng Thành phần (COM) bằng cách sử dụng Ngôn ngữ Truy vấn WMI (WQL). Nó cũng được thiết kế để nhắm mục tiêu vào một danh sách các tiện ích mở rộng ví tiền điện tử được cài đặt trong trình duyệt web Google Chrome. Danh sách này bao gồm Bitget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal và Plug.

Hơn nữa, StilachiRAT trích xuất thông tin đăng nhập được lưu trữ trong trình duyệt Chrome, định kỳ thu thập nội dung khay nhớ tạm như mật khẩu và ví tiền điện tử, giám sát các phiên RDP bằng cách chụp thông tin cửa sổ nền trước và thiết lập liên lạc với một máy chủ từ xa để đánh cắp dữ liệu đã thu thập. Việc liên lạc với máy chủ điều khiển và chỉ huy (C2) là hai chiều, cho phép phần mềm độc hại thực hiện các lệnh được gửi từ đó. Các tính năng này cho thấy đây là một công cụ đa năng cho cả hoạt động gián điệp và thao túng hệ thống.

Có tới 10 lệnh khác nhau được hỗ trợ :

•

07 – Hiển thị hộp thoại với nội dung HTML được kết xuất từ một URL được cung cấp

•

08 – Xóa các mục nhật ký sự kiện

•

09 – Bật tắt hệ thống bằng cách sử dụng một API Windows không được ghi lại (“ntdll.dll!NtShutdownSystem”)

•

13 – Nhận địa chỉ mạng từ máy chủ C2 và thiết lập một kết nối исходящий mới

•

14 – Chấp nhận một kết nối mạng входящий trên cổng TCP được cung cấp

•

15 – Chấm dứt các kết nối mạng đang mở

•

16 – Khởi chạy một ứng dụng được chỉ định

•

19 – Liệt kê tất cả các cửa sổ đang mở của màn hình hiện tại để tìm kiếm văn bản thanh tiêu đề được yêu cầu

•

26 – Đưa hệ thống vào trạng thái tạm ngưng (ngủ) hoặc ngủ đông

•

30 – Đánh cắp mật khẩu Google Chrome

“StilachiRAT hiển thị hành vi chống pháp y bằng cách xóa nhật ký sự kiện và kiểm tra các điều kiện hệ thống nhất định để tránh bị phát hiện,” Microsoft cho biết. “Điều này bao gồm các vòng lặp kiểm tra các công cụ phân tích và bộ hẹn giờ sandbox để ngăn chặn việc kích hoạt đầy đủ của nó trong các môi trường ảo thường được sử dụng để phân tích phần mềm độc hại”. Thông báo này được đưa ra khi Unit 42 của Palo Alto Networks tiết lộ ba mẫu phần mềm độc hại bất thường mà họ đã phát hiện vào năm ngoái, bao gồm một backdoor thụ động Internet Information Services (IIS) được phát triển bằng C++/CLI, một bootkit sử dụng trình điều khiển kernel không an toàn để cài đặt GRUB 2 bootloader và một implant Windows của một framework hậu khai thác đa nền tảng được phát triển bằng C++ có tên là ProjectGeass.

Backdoor IIS được trang bị để phân tích cú pháp các yêu cầu HTTP đến nhất định có chứa một tiêu đề được xác định trước và thực thi các lệnh bên trong chúng, cho phép nó chạy các lệnh, lấy siêu dữ liệu hệ thống, tạo các quy trình mới, thực thi mã PowerShell và tiêm shellcode vào một quy trình đang chạy hoặc mới. Mặt khác, bootkit là một DLL 64-bit cài đặt một ảnh đĩa GRUB 2 bootloader thông qua một trình điều khiển kernel được ký hợp lệ có tên là ampa.sys. Nó được đánh giá là một bằng chứng khái niệm (PoC) được tạo bởi các bên không xác định từ Đại học Mississippi.

“Khi khởi động lại, GRUB 2 bootloader hiển thị một hình ảnh và định kỳ phát ‘Dixie’ qua loa PC. Hành vi này có thể cho thấy phần mềm độc hại là một trò đùa ác ý,” nhà nghiên cứu Dominik Reichel của Unit 42 cho biết. “Đáng chú ý, việc vá một hệ thống bằng hình ảnh GRUB 2 bootloader tùy chỉnh này của phần mềm độc hại chỉ hoạt động trên một số cấu hình đĩa nhất định”

Security365