Microsoft báo cáo phần mềm độc hại nhắm mục tiêu vào 20 ví tiền điện tử

Microsoft đã đưa ra cảnh báo về mối đe dọa phần mềm độc hại mới nhắm vào ví tiền điện tử thông qua tiện ích mở rộng của Google Chrome.

Cácphần mềm độc hại, được gọi là StilachiRAT , đã được nhóm Ứng phó sự cố của Microsoft xác định vào tháng 11 năm 2024.

Trojan truy cập từ xa (RAT) này sử dụng các kỹ thuật tiên tiến để tránh bị phát hiện, duy trì sự tồn tại trong hệ thống bị ảnh hưởng và đánh cắp dữ liệu nhạy cảm.

StilachiRAT đặc biệt nhắm mục tiêu vào 20 tiện ích mở rộng ví tiền điện tử phổ biến trên Chrome, bao gồm MetaMask, Trust Wallet, Coinbase Wallet, TronLink, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet và Phantom.

Phần mềm độc hại này có khả năng xâm phạm thông tin ví và đánh cắp thông tin đăng nhập như tên người dùng và mật khẩu được lưu trữ trong Chrome, gây ra mối đe dọa đáng kể đối với tài sản kỹ thuật số của người dùng.

Microsoft cảnh báo:

“StilachiRAT nhắm mục tiêu vào danh sách các tiện ích mở rộng ví tiền điện tử cụ thể cho trình duyệt Google Chrome. Nó truy cập các cài đặt trong khóa sổ đăng ký sau và xác thực xem có bất kỳ tiện ích mở rộng nào được cài đặt hay không.”

StilachiRAT hoạt động như thế nào

StilachiRAT là một bước tiến đáng kể trong việc chống lại các mối đe dọa mạng, đặc biệt là đối với những người nắm giữ tài sản kỹ thuật số.

Microsoft đã trình bày chi tiết về khả năng của mình, tiết lộ rằng phần mềm độc hại có thể trích xuất thông tin nhạy cảm như mật khẩu và khóa tiền điện tử được lưu trữ trongTrình duyệt Google Chrome tệp trạng thái cục bộ, đồng thời theo dõi hoạt động của bảng tạm.

StilachiRAT bắt đầu quá trình xâm nhập bằng cách thực hiện trinh sát mở rộng.

Công cụ này thu thập dữ liệu hệ thống quan trọng, bao gồm thông tin chi tiết về hệ điều hành, mã định danh phần cứng như số sê-ri BIOS, phiên Giao thức máy tính từ xa (RDP) đang hoạt động, trạng thái hiện diện của camera và các ứng dụng GUI đang chạy.

Thông tin này được thu thập thông qua giao diện Quản lý doanh nghiệp dựa trên web (WBEM) của Mô hình đối tượng thành phần (COM) bằng Ngôn ngữ truy vấn WMI (WQL).

Microsoft lưu ý thêm rằng StilachiRAT được trang bị các chiến thuật trốn tránh, chẳng hạn như khả năng xóa nhật ký sự kiện và phát hiện môi trường hộp cát, khiến việc phân tích trở nên khó khăn hơn.

Việc giao tiếp giữa phần mềm độc hại với máy chủ chỉ huy và điều khiển (C2) là hai chiều, cho phép phần mềm độc hại thực hiện các lệnh từ xa.

Điều này cho phép thực hiện hoạt động do thám và thao túng hệ thống, với việc Microsoft nhấn mạnh rằng StilachiRAT hỗ trợ mười lệnh riêng biệt, nhấn mạnh tiềm năng của nó như một công cụ linh hoạt và nguy hiểm.

Microsoft cảnh báo người dùng phải cảnh giác

Để bảo vệ khỏi StilachiRAT, Microsoft khuyên bạn chỉ nên tải phần mềm từ các nguồn đáng tin cậy và tránh các trang web hoặc tệp đính kèm lạ.

Người dùng cũng nên bật tính năng bảo vệ thời gian thực thông qua Microsoft Defender và sử dụng trình duyệt có SmartScreen để chặn các trang web độc hại.

Ngoài ra, Microsoft khuyên bạn nên triển khai xác thực đa yếu tố (MFA) và thường xuyên cập nhật phần mềm để giảm lỗ hổng.

Microsoft khuyên rằng:

“Trong một số trường hợp, trojan truy cập từ xa (RAT) có thể ngụy trang thành phần mềm hợp pháp hoặc bản cập nhật phần mềm. Luôn tải xuống phần mềm từ trang web chính thức của nhà phát triển phần mềm hoặc từ các nguồn đáng tin cậy.”

Mặc dù phần mềm độc hại vẫn chưa được phân phối rộng rãi,Microsoft chưa xác định được tổ chức chịu trách nhiệm cho mối đe dọa này.

Công ty đã vạch ra các chiến lược giảm thiểu, bao gồm cài đặt phần mềm diệt vi-rút, để bảo vệ các mục tiêu hiện tại.

Mặc dù phạm vi tiếp cận có hạn, rủi ro tiềm ẩn của StilachiRAT vẫn tiếp tục gây lo ngại trong cộng đồng tiền điện tử.

Nhóm nghiên cứu đã viết:

“Do khả năng tàng hình và những thay đổi nhanh chóng trong hệ sinh thái phần mềm độc hại, chúng tôi chia sẻ những phát hiện này như một phần trong nỗ lực liên tục của mình nhằm giám sát, phân tích và báo cáo về bối cảnh mối đe dọa đang phát triển.”