新型恶意软件StilachiRAT攻击Chrome用户,窃取加密货币钱包凭证

新型恶意软件StilachiRAT攻击Chrome用户,窃取加密货币钱包凭证

N
News Editor 01
2026-07-09 20:26:13
微软发现名为StilachiRAT的远程访问木马,专门针对Chrome浏览器中的20种加密货币钱包扩展,通过绕过加密和监控剪贴板窃取凭证和资金。
恶意软件加密货币ChromeStilachiRAT安全

微软于2025年3月发布报告,揭示了一种名为StilachiRAT的新型远程访问木马(RAT),其核心目标是通过Google Chrome浏览器窃取加密货币用户的数字钱包凭证和敏感财务数据。该恶意软件利用高级规避技术,对安装特定扩展的Chrome用户构成直接威胁。

目标钱包扩展一览

StilachiRAT扫描Chrome浏览器中安装的20种加密货币钱包扩展,包括MetaMask、Coinbase Wallet、Trust Wallet、OKX Wallet、Phantom、Keplr,以及BNB Chain Wallet、Sui Wallet等。一旦检测到这些扩展,恶意软件便会提取相关的资产信息,并将数据外传至攻击者控制的服务器。

绕过Chrome加密机制

为获取存储在Chrome密码管理器中的登录凭证,StilachiRAT会读取本地状态文件中的加密密钥。微软报告指出:“恶意软件利用Windows API解密主密钥,从而访问Chrome加密过的密码数据库。”这使得攻击者能够窃取与交易所、银行账户关联的用户名和密码,进一步扩大资产盗窃风险。

剪贴板监控与交易劫持

StilachiRAT具备持续监控剪贴板的能力,专门识别与加密货币地址相关的模式。当用户复制钱包地址时,恶意软件会实时替换为目标地址,将转账交易重定向至攻击者的钱包。微软强调:“剪贴板监控是持续性的,专注搜索密码、加密货币密钥和潜在的个人身份信息。”这种攻击手法在用户不知情的情况下即可完成资金劫持。

持久化与防御建议

该恶意软件通过建立命令与控制(C2)连接,允许攻击者远程执行命令、操控系统进程,并在初次检测后保持持久性。为降低感染风险,微软建议用户启用Microsoft Defender实时保护、使用安全浏览器、避免从未经验证来源下载文件,并定期检查浏览器扩展权限。随着StilachiRAT等针对数字资产的恶意软件不断进化,加密货币持有者需保持高度警惕,采取多重安全措施保护私钥和钱包访问权限。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
100

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。