Майкрософт предупреждает о новом опасном вредоносном ПО типа RAT, которое может легко избежать обнаружения

В ноябре 2024 года исследователи Microsoft Incident Response обнаружили новый троян-удаленного доступа (RAT), который мы назвали StilachiRAT. Он демонстрирует сложные техники уклонения от обнаружения, постоянного присутствия в целевой среде и кражи конфиденциальных данных.

Компания не объяснила, как RAT распространяется, но после установки на устройстве он сохраняет постоянство через менеджер управления службами Windows (SCM). Он использует программы-сторожа для отслеживания бинарных файлов вредоносного ПО и их восстановления, если они удалены, по сути, переустанавливая вредоносное ПО при необходимости. Что касается уклонения и анти-цифровой криминалистики, StilachiRAT может очищать журналы событий и искать признаки того, что он работает в среде песочницы. Даже если вы заставите его работать в песочнице, его вызовы API Windows все еще кодируются как «контрольные суммы, которые разрешаются динамически во время выполнения», что значительно усложняет анализ.

Что касается функций, StilachiRAT не сильно отклоняется от обычного трояна удаленного доступа. Он нацелен на учетные данные, хранящиеся в браузере, информацию о цифровых кошельках, данные, хранящиеся в буфере обмена, и системную информацию (идентификаторы оборудования, наличие камеры, активные сеансы протокола удаленного рабочего стола (RDP) и запущенные приложения с графическим интерфейсом для профилирования целевых систем). StilachiRAT особенно интересуется кошельками с криптовалютой. Он может сканировать конфигурационную информацию 20 расширений кошельков, таких как Phantom, MetaMask, Trust Wallet и многих других.

Но инструмент может делать намного больше, чем просто «красть» данные - он позволяет выполнять команды удаленно, предоставляя злоумышленникам возможность перезапускать устройство, запускать приложения и многое другое. Даже есть команды, созданные для «приостановки системы, изменения значений реестра Windows и перечисления открытых окон».