Naukowcy odkrywają nowe złośliwe oprogramowanie „StilachiRat”

Badacze ds. cyberbezpieczeństwa w firmie Microsoft ujawnili szczegóły nowego typu RAT o szerokim zakresie złośliwych możliwości. Zagrożenie o nazwie „StilachiRAT” zostało zauważone w środowisku naturalnym kilka razy, ale badacze nie powiązali go jeszcze z żadną grupą cyberprzestępczą.

Wykryto nowego trojana zdalnego dostępu StilachiRat

Chociaż jak dotąd cyberprzestępcy nie rozpowszechniły RAT na dużą skalę, badacze zdecydowali się ujawnić szczegółowe informacje na jego temat, w tym środki mające na celu ograniczenie zagrożenia oraz wskaźniki infekcji.

Podobnie jak wiele innych trojanów zdalnego dostępu, StilachiRAT dysponuje imponującym arsenałem złośliwych funkcji, w tym rozpoznaniem systemu, kradzieżą portfeli kryptowalut i danych uwierzytelniających, łącznością poleceń i kontroli (C2), mechanizmami trwałości, wykonywaniem poleceń, monitorowaniem RDP, schowkiem i zbieraniem danych, a także funkcjami antykryminalistycznymi i umożliwiającymi unikanie ataków.

„Analiza modułu WWStartupCtrl64.dll biblioteki StilachiRAT, który zawiera funkcje RAT, wykazała, że w celu kradzieży informacji z systemu docelowego wykorzystano różne metody, takie jak dane uwierzytelniające zapisane w przeglądarce, informacje o portfelu cyfrowym, dane zapisane w schowku, a także informacje o systemie” — czytamy w ostrzeżeniu firmy Microsoft dotyczącym bezpieczeństwa.

Mechanizmy trwałości

Eksperci ds. bezpieczeństwa zauważyli, że RAT obejmuje mechanizmy, które zapewniają, że osoby atakujące będą mogły przetrwać na zainfekowanych maszynach.

StilachiRAT może zostać uruchomiony jako samodzielny komponent lub usługa Windows. Niezależnie od formy, malware używa wątku watchdog, który regularnie sprawdza, czy pliki wykonywalne RAT lub pliki biblioteki dołączanej dynamicznie (DLL) są obecne w systemie.

Jeśli składniki nie zostaną znalezione, malware odtwarza je, używając wewnętrznej kopii wygenerowanej podczas fazy inicjalizacji. Malware może również replikować składnik usługi Windows, zmieniając ustawienia rejestru i uruchamiając go za pomocą Service Control Manager (SCM) systemu Windows.

RAT-y mogą siać spustoszenie na niezabezpieczonych maszynach

„Złośliwe oprogramowanie, takie jak StilachiRAT, może wyrządzić poważne szkody w systemach, w których nie zastosowano odpowiednich środków bezpieczeństwa. Dlatego warto zabezpieczyć się za pomocą specjalistycznego oprogramowania antywirusowego, które może uchronić Twoje urządzenia przed malware typu RAT, wirusami, robakami, atakami typu zero-day, oprogramowaniem ransomware, oprogramowaniem szpiegującym, rootkitami i innymi zagrożeniami cyfrowymi” – mówi Arkadiusz Kraszewski z firmy Marken Systemy antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.