Microsoft安全研究人员发现新的恶意软件威胁,针对流行的加密钱包扩展,包括MetaMask和Phantom。
StilachiRAT远程访问木马首次于2024年11月被发现,经过深入分析后揭示了这一威胁的严重性。具体来说,它能够针对加密钱包。
MetaMask、Coinbase、Phantom、Keplr等可能面临风险,因为该木马可以扫描Google Chrome浏览器中的加密钱包扩展。它可以提取并解密已保存的凭据,从而访问用户名和密码。
该信息收集木马能够持续监控剪贴板内容,主动寻找如加密货币密钥和密码等敏感信息。
研究人员分享了该木马用来扫描剪贴板内容中的凭据的正则表达式示例,并指出它们正在寻找与Tron网络相关的信息—该网络在中国特别受欢迎。
微软表示,StilachiRAT针对特定的钱包,包括:Bitget Wallet、Trust Wallet、TronLink、MetaMask、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Kepler、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、ConfluxPortal和Plug。
Expel的威胁情报分析师Aaron Walton告诉Decrypt:“信息窃取恶意软件利用社交工程欺骗用户下载并执行恶意代码。这些诱饵从下载、工作机会到甚至虚假的验证码,都会在用户浏览网页时进行干扰。”
“这里有巨大的经济利益,犯罪分子使用的战术可以绕过基本的安全防护,甚至绕过商业级别的防御。”
StilachiRAT似乎正在使用反取证行为,包括清除事件日志和规避检测。
微软事件响应团队表示:“根据微软当前的可见性,这种恶意软件目前尚未广泛传播。然而,由于其隐蔽性和恶意软件生态系统中的快速变化,我们正在分享这些发现,作为我们持续监控、分析和报告不断演变的威胁格局的一部分。”
编辑:Stacy Elliott