Microsoft a récemment révélé un nouveau cheval de Troie d'accès à distance (RAT) appelé StilachiRAT, ciblant spécifiquement les extensions de portefeuilles de cryptomonnaie du navigateur Chrome, pour voler les données des utilisateurs et dérober des actifs cryptographiques.
Depuis novembre 2024, des experts en sécurité enquêtent sur l'origine de ce logiciel malveillant et ont averti qu'il représente une menace importante pour la sécurité des actifs des détenteurs de cryptomonnaies.
Logique de fonctionnement du logiciel malveillant
Le rapport indique que StilachiRAT peut non seulement extraire les informations d'identification stockées dans le navigateur, scanner l'appareil à la recherche d'extensions de portefeuille cryptographique, mais aussi intercepter des informations sensibles telles que des clés privées et des mots de passe. Ce logiciel malveillant cible au moins 20 portefeuilles de cryptomonnaie pour des attaques malveillantes, y compris Bitget Wallet, Trust Wallet, Coinbase Wallet, MetaMask, TronLink, BNB Chain Wallet et OKX Wallet. Une fois déployé, il peut voler des actifs numériques stockés en accédant aux données du presse-papiers et en extrayant des informations d'identification privées.
Cette étude montre que StilachiRAT fonctionne non seulement de manière discrète, mais utilise également diverses techniques d'évasion pour éviter d'être détecté. Il s'auto-installe via le fichier de bibliothèque infecté WWStartupCtrl64.dll et exécute des commandes à distance pour manipuler le système infecté. Une fois activé, il scanne les extensions de portefeuille cryptographique dans l'appareil et extrait les informations d'identification enregistrées à partir du fichier d'état local de Google Chrome.
De plus, l'une des fonctionnalités clés de ce logiciel malveillant est de surveiller les activités du presse-papiers, ce qui signifie que si un utilisateur copie et colle une adresse de portefeuille cryptographique ou un mot de passe, StilachiRAT peut capturer ces informations et les rediriger vers l'attaquant.
La recherche a également révélé que ce cheval de Troie dispose de fonctionnalités anti-forensiques, comme la suppression des journaux d'événements et la détection d'environnements de bac à sable pour éviter d'être analysé par des chercheurs en cybersécurité.
Prévention proactive et conseils de sécurité
À l'heure actuelle, Microsoft n'a pas attribué cette attaque à un groupe de hackers spécifique, mais a averti que, en raison de la nature de l'écosystème des logiciels malveillants, StilachiRAT pourrait se développer et se propager rapidement.
Microsoft a déclaré dans un article de blog qu'à la lumière des informations actuellement disponibles, ce logiciel malveillant n'a pas encore montré de distribution étendue, mais sa capacité d'invisibilité et l'évolution rapide de l'écosystème des logiciels malveillants exigent qu'ils partagent ces découvertes dans le cadre d'une surveillance continue, d'une analyse et d'un rapport sur la menace en évolution.
De plus, pour éviter de devenir une victime de StilachiRAT et de menaces similaires, Microsoft recommande d'installer un logiciel antivirus, d'activer la protection anti-phishing et anti-malware basée sur le cloud, et de s'assurer que toutes les extensions de navigateur proviennent de sources fiables.
En même temps, les utilisateurs doivent également faire attention lorsqu'ils copient et collent des adresses de portefeuille et des mots de passe, car des logiciels malveillants comme StilachiRAT exploitent spécifiquement les données du presse-papiers.
Conclusion :
À une époque où les techniques de piratage évoluent rapidement, les défis de la cybersécurité dans le domaine des cryptomonnaies deviennent de plus en plus graves. La découverte de Microsoft ne fait pas seulement retentir une alarme, elle rappelle également aux investisseurs et aux utilisateurs quotidiens qu'ils doivent rester vigilants et protéger leur vie privée et la sécurité de leurs actifs numériques.
En même temps, il est crucial pour les investisseurs, qu'ils utilisent un logiciel antivirus, choisissent prudemment des extensions de navigateur, ou évitent de copier-coller des informations sensibles lors de l'utilisation de portefeuilles, de prendre des mesures de sécurité proactives pour protéger leurs actifs numériques. Dans le monde des cryptomonnaies, la sécurité est toujours la première ligne de défense.
