微软于2025年3月发布报告,揭示了一种名为StilachiRAT的新型远程访问木马(RAT),其核心目标是通过Google Chrome浏览器窃取加密货币用户的数字钱包凭证和敏感财务数据。该恶意软件利用高级规避技术,对安装特定扩展的Chrome用户构成直接威胁。
目标钱包扩展一览
StilachiRAT扫描Chrome浏览器中安装的20种加密货币钱包扩展,包括MetaMask、Coinbase Wallet、Trust Wallet、OKX Wallet、Phantom、Keplr,以及BNB Chain Wallet、Sui Wallet等。一旦检测到这些扩展,恶意软件便会提取相关的资产信息,并将数据外传至攻击者控制的服务器。
绕过Chrome加密机制
为获取存储在Chrome密码管理器中的登录凭证,StilachiRAT会读取本地状态文件中的加密密钥。微软报告指出:“恶意软件利用Windows API解密主密钥,从而访问Chrome加密过的密码数据库。”这使得攻击者能够窃取与交易所、银行账户关联的用户名和密码,进一步扩大资产盗窃风险。
剪贴板监控与交易劫持
StilachiRAT具备持续监控剪贴板的能力,专门识别与加密货币地址相关的模式。当用户复制钱包地址时,恶意软件会实时替换为目标地址,将转账交易重定向至攻击者的钱包。微软强调:“剪贴板监控是持续性的,专注搜索密码、加密货币密钥和潜在的个人身份信息。”这种攻击手法在用户不知情的情况下即可完成资金劫持。
持久化与防御建议
该恶意软件通过建立命令与控制(C2)连接,允许攻击者远程执行命令、操控系统进程,并在初次检测后保持持久性。为降低感染风险,微软建议用户启用Microsoft Defender实时保护、使用安全浏览器、避免从未经验证来源下载文件,并定期检查浏览器扩展权限。随着StilachiRAT等针对数字资产的恶意软件不断进化,加密货币持有者需保持高度警惕,采取多重安全措施保护私钥和钱包访问权限。

